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FAFA: 
感谢 您 报名 参加 LinuxProbe.com Æ R0, MAIE 2679 6,4578 WoSE, FE] KRIAS HE, KTA 
根据 自身 情况 来 选择 最 合适 的 班 型 ， 我 们 的 培训 采用 在 线 培训 的 方式 ， 如 果 您 因 故 不 能 参加 某 天 的 
培训 ， 请 不 要 着 急 ， 我 们 已 经 为 您 录制 好 了 当期 的 培训 视频 ， 直 接 联系 讲师 或 在 内 部 资料 区 下 载 即 
可 ， 我 们 竭诚 为 您 提供 最 高 质量 的 Linux 在 线 培训 课程 ， 珍 惜 您 对 我 们 的 信任 ， 本 教材 内 含 大 量 的 
空白 页 ， 并 附 赠 一 只 黑 笔 ， 一 只 蓝 笔 及 一 只 红 笔 ， 方 便 您 随 着 上 课 写 好 笔记 ， 另 外 如 果 学 习 中 有 任 
何 的 建议 都 请 直接 告诉 我 们 ， 我 们 超 爱 您 的 建议 ! 
刘 递 


您 的 终身 职业 顾问 及 技术 导师 


VN NON 


第 0 3E 让 我 们 谈 谈 学 习 方 法 和 红 帽 系统 。 


章节 简 述 : 

Hello World! 全 书 的 开篇 讲述 作者 学 习 红 帽 Linux 系统 的 经 验 以 及 写 书 过 程 的 感悟 , 分 析 学 习 Linux 的 目地 与 意义 。 
开源 精神 是 种 让 每 个 从 事 Linux 行业 的 技术 人 从 骨子里 自豪 的 情怀 ， 开 源 产 品 的 兴盛 受益 于 开源 社区 强健 的 根基 。 
优秀 的 Linux 运 维 师 能 够 让 用 户 真切 体会 到 Linux 系统 带 来 的 高 可 用 、 高 性 能 与 安全 稳定 。 


0.1 本 书 作者 简介 

本 书 作 者 刘 雍 从 事 于 linux 运 维 技术 行业 ， 较 早 时 因 兴 趣 的 驱使 接触 到 了 Linux 系统 并 开始 学 习 ， 已 在 2012 年 考 下 
红 帆 工程 师 RHCE 6, 今年 又 分 别 考 下 RHCE_7 版 本 与 红 帆 架构 师 认 证 RHCA， 深 知 水 平 有 限 且 技术 一 般 ， 若 没有 得 
益 于 良师益友 的 无 私 帮 助 ， 肯 定 不 能 如 此 顺利 的 完成 Linux 学 业 ， 同 样 作为 一 名 普通 的 技术 人 ， 我 亲身 经 历 过 半夜 还 
在 培训 班 的 心酸 ， 体 验 过 拥堵 6 小 时 车 程 的 无 奈 ， 所 以 为 了 能 够 帮助 读者 们 快速 入 门 Linux 系统 ， 此 刻 我 正 怀揣 着 
一 颗 志 还 的 心 ， 竭 尽 全 身心 的 斗志 将 书 编写 的 更 好 。 

本 书 于 2015 年 的 春节 前 夕 起 笔 ， 预 计 年 末 截 稿 〈 初 版 ) 一 一 为 了 保证 每 篇 文章 的 质量 所 以 很 可 能 会 写 不 完 ， 才 与 诚 
合 ， 然 后 事 可 成 ， 怪 才 而 败 。 我 将 付出 不 亚 于 任何 人 的 努力 ， 与 可 爱 的 读者 们 一 起 编号、 完善 这 本 书籍 ， 带 领 大 家 从 
“0” 基 础 开始 学 习 linux 系统 ， 配 以 大 量 Linux 相关 实验 逐步 掌握 运 维 之 道 ， 本 书 内 含 配 套 教学 图 片 与 视频 ， 达 到 
增强 学 员 兴 趣 与 加 深 记 忆 的 作用 ， 当 然 都 是 免费 的 ,主动 抛弃 不 实用 的 部 分 ,将 重点 反复 实践 ， 所 以 尤其 适合 希望 尽 
快 掌握 Linux 系统 的 人 和 群 。 


0.2 学 习 是 件 府 差 

我 无 意 回 避 这 个 问题 一 一 学 习 本 是 件 痛苦 的 事情 ， 如 果 学 习 
Linux 真 的 很 简单 ， 那 么 必 是 骗子 说 的 谎话 ， 起 码 这 将 不 能 给 
WERKES, 打开 电脑 后 的 沉 轧 ， 是 该 聊 会 天 那 ~ 还 是 追 个 美剧 
那 ~ 还 是 打 盘 LOL 那 ~ 还 是 看 看 那 该 死 的 刘 闭 号 的 那 本 可 怕 
Linux 教材 时 ， 请 不 要 扎 记 自己 最 初 的 梦想 ， 十 年 后 你 会 感谢 
此 时 正在 努力 学 习 的 自己 。 我 身 为 作者 的 使 命 就 是 一 定 要 对 得 
起 您 花费 的 时 间 、 精 力 、 金 钱 ， 让 您 每 学 完 一 个 章节 都 是 一 次 
进步 ， 读 完 稻 盛 和 夫 先 生 的 活 法 后 发 现 “ 我 们 也 可 以 从 学 习 
中 获得 快乐 ”。 

“工作 马马虎虎 ， 只 想 在 兴趣 和 游戏 中 寻 贡 快活 ， 充 其 量 只 能 
获得 一 时 的 快感 ， 绝 不 能 尝 到 从 心底 涌 出 的 惊喜 和 快乐， 但 来 
自 工作 的 喜悦 并 不 像 糖果 那样 一 一 放 进 嘴 里 就 甜 味 十 足 ， 而 是 
需要 从 营 劳 与 艰辛 中 渗 出 ， 因 此 当 我 们 聚精会神 ， 孜 孜 不 伴 ， 
克服 艰辛 后 的 成 就 感 ， 世 上 没有 哪 种 喜悦 可 以 类 比 。” 

“更 何况 人 类 生活 中 工作 占据 了 较 大 的 比重 ， 如 果 不 能 从 劳动 
中 、 工 作 中 获得 充实 感 ， 那 么 即使 从 别 的 地 方 找到 快乐 ， 最 终 
我 们 仍然 会 感到 空 虞 和 缺憾 。 





0.3 开源 共享 精神 

坦白 来 讲 ， 每 个 从 事 Linux 行业 的 技术 人 都 从 骨子里 有 一 种 独特 的 情怀 ， 听 到 开源 产品 的 兴起 就 会 由 圳 的 自豪 ,开源 
企业 不 单纯 为 了 利益 ， 而 是 互相 扶持 ， 让 开源 软件 越 来 越 完 善 ， 根 基 越 来 越 强大 ， 开 源 社 区 越 来 越 有 人 气 ， 开 源 软 件 
简单 来 说 就 是 可 以 不 受 限 制 的 使 用 某 个 软件 并 且 随 意 修 改 ， 甚 至 修改 成 自己 的 产品 再 发 布 出 去 。 所 以 开源 软件 一 般 
会 将 软件 程序 与 源 代码 一 起 提供 给 用 户 ， 最 热门 的 六 种 开源 许可 证 包括 : 
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desc, 
是 否 可 以 闭 源 ?2 


每 一 不 修改 过 的 文 
Ao d 





开源 软件 的 特性 :“ 使 用 自由 ，“ 修 改 自由 ，“ 重 新 发 布 自 由 . “创建 衍生 总 自由 . 


0.4 为 什么 要 学 Linux? 

Linux 操 作 系 统 最 初 是 在 1991 年 10 月 份 由 芬兰 赫尔辛基 大 学 的 在 校生 Linus Torvalds 所 发 布 , 最初 被 发 布 的 LINUX 

0.02 we Ren 迅速 引起 了 一 大 批 黑 客 的 加 入 ， 而 今 虽然 有 数 百 计 的 Linux 发 布 版 ， 但 

都 依然 统一 使 用 Linus Torvalds 开发 /维护 的 系统 内 核 ，Linux 是 具 

is Unix 的 程序 界面 与 操作 方法 且 继 承 了 其 稳定 性 (通常 运行 几 

年 都 不 会 宕 机 )。 

大 多 数 读 者 开始 了 解 计算 机 和 和 网络 都 是 从 “Windows™M” 开 始 的 

吧 ， 肯 定 已 经 习惯 了 盖 茨 系统 而 且 觉 得 足以 应 付 日 常 工作 啦 。 虽然 
盖 茨 系统 确实 很 优秀 但 同时 也 是 用 户 对 安全 性 、 高 可 用 与 高 性 能 的 

大 大 牺牲 ， 因 为 你 一 定 见 过 右面 的 图 片 。 

所 以 读者 是 否 考虑 过 为 何 需要 长 期 稳定 运行 的 网 站 服务 器 、 处 理 大 

数据 的 集群 系统 或 者 需要 协同 工作 的 环境 大 多 采用 Linux 系统 呢 ? 














i 


稳定 且 有 效率 
免费 或 少许 费用 
漏洞 少 且 快速 修补 
多 任务 多 用 户 
更 加 安全 的 用 户 及 文件 权限 策略 
适合 小 内 核 程 序 的 嵌入 系统 


w nux -Windows 相对 不 耗资 源 
Linux 的 优势 读者 可 先 作 了 解 暂 不 需 深究 ， 学 习 中 再 慢 慢 感 受 。 
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0.5 热门 的 开源 系统 


红 帆 企业 系统 (RedHatEnterpriseLinux, RHEL.) 
全 球 最 大 的 开源 技术 厂商 ， 全 世界 内 使 用 最 广泛 的 Linux 发 布 套件 ， 
提供 性 能 与 稳定 性 极 强 的 Linux 套件 系统 并 拥有 完善 的 全 球技 术 支 持 。 


社区 企业 操作 系统 (Centos) 
最 初 是 将 红 幅 企业 系统 “重新 编译 /发 布 ” 给 用 户 免 费 使 用 而 广泛 使 用 ， 
当前 已 正式 加 入 红 帆 公司 并 继续 保持 免费 《〈 随 RHEL 更 新 而 更 新 )。 








红 帆 用 户 桌面 版 (Fedora [LinuxD 
最 初 由 红 帆 公司 发 起 的 桌面 版 系统 套件 (目前 已 经 不 限于 桌面 版 )， 
用 户 可 免费 体验 到 最 新 的 技术 或 工具 ， 而 功能 成 熟 后 加 入 到 RHEL 中 。 


国际 化 组 织 的 开源 操作 系统 (Debian) 
提供 超过 37500 种 不 同 的 自由 软件 且 拥 有 很 高 的 认可 度 ， 对 于 各 类 内 核 架 构 支 持 性 良 
好 ， 稳 定性 、 安 全 性 强 更 有 免费 的 技术 支持 。 


基于 Debian 的 桌面 版 (Ubuntu) 
Ubuntu 是 一 款 基 于 Debian 派生 的 产品 ， 对 新 款 硬 件 具有 极 强 的 兼容 能 力 。 
普遍 认为 Ubuntu 与 Fedora 都 是 极其 出 色 的 LINUX 桌面 系统 。 





0.6 认识 红 帆 认证 

Linux 系统 有 上 百 个 不 同 的 组 织 、 公 司 、 机 构 研 发 并 发 布 出 不 同 的 版 本 ， 其 中 红 帆 公司 作为 一 家 成 熟 的 操作 系统 厂 
商 提供 可 靠 的 Linux 系统 和 和 完善 的 求援 服务 ， 红 帽 企 业 linux 系统 (RedHat Enterprise Linux,RHEL) 的 市 场 占 有 量 
极 大 ， 认 可 度 也 非常 高 。 


红 帽 公司 推出 了 阶梯 式 的 认证 体系 也 确实 能 够 帮助 读者 检查 自己 的 能 力 : 


















m eth —RHCA E ZEER -(RHCSS) 

kE Linux 和 开源 方面 的 技术 和 架 * 红 帆 最 新 推出 的 安全 进 阶 认证 New, 
ISTEAH advanced-level security certification - 

A M iris epp SISSE SR TUR) Linux 为 满足 企业 环境 下 的 安全 要 求 进行 


系统 的 设计 、 计 划 ， 部署 及 全 面 配置 红 帽 企业 版 Linux WEBER 
管理 






m ”工程师 —RHCE 
* 安 装 和 配置 Linux 服务 器 ,网 络 
设备 ,网 络 安全 ,实际 问题 的 诊断 
和 解决 
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同 于 大 家 的 了 解 ， 本 书 《Linux 就 该 这 么 学 》 就 是 由 一 批 中 国 的 红 帆 架构 师 所 编写 。 
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本 章 结束 ， 您 可 以 在 此 写 下 笔记 : 
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第 1 XE 部 署 虚拟 环境 安装 linux 系统 。 
章节 简 述 : 
本 章节 带领 读者 从 0 基础 了 解 虚拟 机 与 红 帆 系统， 完整 的 演示 了 在 VM 5 KVM 中 安装 红 帽 RHEL7 系统 的 方法 。 
特别 增加 了 超级 实用 的 Linux 系统 找 回 root 密码 、 虚 拟 机 功能 增强 包 、VNC 远程 控制 服务 等 相关 的 技术 知识 点 。 
简单 了 解 守护 进程 即 可 ， 对 了 ! 在 安装 RPM 软件 包 或 配置 YUM 软件 仓库 时 请 格外 注意 参数 细节 哦 ~ 





1.1 准备 您 的 工具 
所 谓 工 欲 善 其 事 必 先 利 其 器 ， 在 本 书 第 一 章 需 要 读者 们 搭建 出 为 课 后 练习 实验 所 使 用 的 红 帽 RHEL7 系统 环境 ， 读 者 
不 需要 为 了 课程 实验 而 单独 购买 一 台新 电脑 ， 下 面 的 小 节 中 会 教 给 您 如 何 通过 “虚拟 机 ”来 模拟 出 “仿真 系统 ”， 
虚拟 机 是 能 够 让 用 户 在 一 台 真 机 上 模拟 出 多 台 操 作 系 统 的 软件 ， 一 般 来 讲 当 前 主流 的 硬件 配置 都 是 没 问题 的 。 
强烈 建议 读者 采用 与 本 书 一 致 的 虚拟 机 软件 与 RHEL7 镜像 系统 ， 否 则 可 能 会 导致 实验 失败 1 
软件 资源 请 在 这 里 下 载 :http://www .linuxprobe.com/tools/ 
VmwareWorkStation 11.0 一 一 虚拟 机 软件 (必需 ): 
功能 强大 的 桌面 虚拟 计算 机 软件 ， 能 够 让 用 户 在 单一 主机 同时 运行 多 个 不 同 的 操作 系统 。 
同时 支持 实时 快照， 虚拟 网 络 ， 拖 搜 文件 以 及 PXE 等 强悍 功能 。 
RedHatEnterpriseLinux [RHEL]7.0 一 一 红 帽 操作 系统 (必需 ): 
由 开源 软件 及 全 球 服务 性 系统 开发 商 红 帽 公 司 出 品 ， 最 稳定 出 色 的 Linux 操作 系统 。 
说 来 真 的 很 郁 闪 、 其 实 我 在 高 中 时 就 有 学 习 Linux 系统 的 冲动 ， 那 时 上 网 还 不 便捷 ， 所 以 安装 系统 都 需要 去 买 光 盘 ， 
而 那 时 的 linux 系统 至 少 需要 6 张 光盘 (CD-Rom 容量 为 700MD, 尝试 安装 了 几 次 却 一 直 报错 ， 搞 不 懂 只 能 放弃 了 ， 
今年 春节 收拾 屋子 翻 出 了 这 些 光 盘 ， 再 次 安装 时 找到 了 错误 的 原因 ， 原 来 是 第 五 张 光 盘 被 “ 刮 花 ”了 ， 导 致 依赖 的 软 
件 包 无 法 安装 ， 真 的 是 很 无 语 、 很 郁 浆 ， 原本 可 以 早 几 年 就 开始 学 Linux 系统 了 ， 所 以 这 里 提示 读者 : “准备 齐 工 具 
后 一 定 要 校 验 完整 性 ”。 
Hash1.0.4 一 一 文件 校 验 工具 (推荐): 
经 典 实用 的 功能 且 便 捷 的 支持 文件 拖 搜 查询 ， 确 保 文件 的 完整 与 安全 性 ， 只 需 选 中 文件 或 直接 拖 搜 进去 ， 确 保 
你 在 Hash 界面 上 看 得 到 MD5 与 SHA1 值 与 软件 资源 库 提供 的 一 致 再 使 用 。 


1.2 安装 配置 虚拟 机 
Vmware WorkStation 是 一 款 桌 面 计算 机 虚拟 软件 ， 能 够 让 用 户 在 单一 主机 上 同时 运行 多 个 不 同 的 操作 系统 。 每 个 
虚拟 操作 系统 的 硬盘 分 区 、 数 据 配 置 都 是 独立 的 ， 同 时 又 可 以 将 多 人 台 虚 拟 机 构建 为 一 个 局 域 网 。 更 何况 Linux 系统 要 
求 的 系统 资源 很 低 ， 所 以 读者 们 真 的 没有 必要 再 买 一 台电 脑 ， 课 程 实验 完全 可 以 用 虚拟 机 搞定 ， 而 且 VM 还 支持 实 
时 快照 、 虚 拟 网 络 、 拖 搜 文 件 以 及 PXE 等 方便 实用 功能 。 
执行 虚拟 机 软件 安装 向 奸 
第 1 步 :运行 虚拟 机 软件 。 第 2 步 :接受 软件 的 许可 。 


wr 


VMware Workstation 一 一 


许可 协议 
请 仔细 阅读 以 下 许可 协议 。 


VMWARE 


WORKSTATION 


VMWARE 最 终 用 户主 可 协 说 
请 注意 : 无 件 的 安装 过 程 中 可 能 会 出 现 何 种 条 款 ， 您 对 本 软件 的 使 
USE B PEEL RANE 2 
息 一 BT. 安装 或 使 用 本 软件 ， 您 《自然 人 或 法 
cro CAN 条 款 的 约束 。 如 果 您 不 
BOR. RESEBAU. HOJA. 


bs S 
或 在 三 十 (30) )) 天 内 将 未 使 用 的 本 软件 退还 给 给 您 器 其 购买 本 软件 的 世 应 商 并 且 
要 求 退还 您 已 为 本 软件 支付 的 许可 坦 (如 果 有 ) o 


c 


a 我 接受 许可 协议 中 的 条 款 。 (A) | 打印) 
正在 加 载 : vmwareworkstation.msi co 我 不 接受 证 可 协议 中 的 条 就 。(D) 





Copyr nan 1958-2014 VMware, Inc. All rights reserved. This product is protected by U.S. and Intemational copyright and 
Intellectual property laws. Vina re products are covered by one or more patents listed at PEL oes mam. re.cam/go/pat 
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第 4 步 :选择 安装 到 的 目录 。 


eX PX 
单 击 “ 下 一 步 ” 安 装 到 此 文件 来 ， 或 单 击 “ 更 改 ” 安 装 到 其 他 文件 来 


将 VMware Workstation 安装 到 ; 
C: Program Files {(x86)WMwareWMware Workstation 


用 户 体 验 改 进 计 划 


软件 更 新 
您 希望 何 时 检查 软件 更 新 ? SERRES] VMware RRIA 


帮助 改善 VMware Workstation(H) 
[6] VMware 上 发 送 匿 名 系统 数据 和 使 用 情况 统计 信息 。 


启动 时 检查 产品 更 新 (P) 
VMware Workstation 启动 有 时， 检查 应 用 程序 和 已 安装 的 软件 组 件 是 否 有 新 版 本 。 





第 8 PURI WURDE UE T. 


VMware Workstation S 
已 淮 备 好 执行 请 求 的 操作 


快捷 方式 
选择 您 要 放 入 系统 的 快捷 方式 。 


在 以 下 位 置 创建 VMware Workstation 的 快捷 方式 。 单 击 “ 维 续 ”开始 此 进程 。 


桌面 (DD) 
如 果 要 查看 或 更 羽 任意 安装 设置 ， 请 单 击 “ 上 一 步 ”。 单 击 “ 取 消 ” 可 退出 向 号 。 


开始 菜单 程序 文件 来 他 





E iOS. 
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第 10 步 :请 填写 密 钥 或 直接 跳 过 。 
VMware Workstation 


输入 许可 证 密 钥 
(可 选 ) 您 可 以 稍 后 于 辆 入 此 信息 。 


正在 执行 请 求 的 操作 


许可 证 密 钥 (LD): (XXXXX-XXXXX-XXXXX-XXXXX-XXXXX) 
| 


AAR 向 叶 正在 执行 请 求 的 操作 。 这 可 能 需要 几 分钟 时 间 。 


状态 : Installing and configuring additional component 
C:lUsersBLACKS ^ 1VAppData Local lTemplvymware. 1422004248 vcredist x86.exe 





HISH 


Sod)» 
第 11 步 :安装 顺利 完成 ,Good Job! 








安装 问号 元 


安装 同 导 已 成 功 完 成 与 VMware Workstation 相关 的 操作 。 单 


c "sep" REES ° 


VMWARE 


WORKSTATION 











模拟 出 用 于 安装 RHELT 红 帆 操作 系统 的 硬件 配置 。 
第 1 步 : 运行 "Vmware WorkStation"， 看 到 主页 面 。 第 2 步 : 创建 新 的 虚拟 机 。 





Workstation * - | | LÍ 





^: X | a 我 的 计算 机 > 
Q 下 此 处 褒 入 内 容 进行 v m 
pon: - 
T M 我 的 计算 机 
CD 共享 的 去 拟 机 zh z us 





i$) VMware vCloud Air(V)... 
EE Tm... 


iz JVFICR 
D mssEGERUM).. 
2X) 
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第 3 步 : 新 建 虚拟 机 向 导 一 一 典型 (推荐 )。 第 Ap: 选择 稍 后 安装 操作 系统 。 














安装 客户 机 操作 系统 
BAURAN MERER BANIRE AURERE? 


欢迎 使 用 新 建 虚拟 机 向 导 





| 安装 来 源 : 
D 去 装 程序 光盘 (D}: 
df} DVD RW 张 动 器 (E:) 





e &EGOHSXT) 
AIN WESÉBHPSRSR Workstation 11.0 
Beli e 
WORKSTATION 了 SEGETES DA fo 37 PECISO (M): 


D: 4 Limpia 25? 9 s 18 WRHEL-server-7,0-xX86 644 ~ 





taie) | [5-002] [mA 








第 5 步 : 定义 版 本 为 "Red Hat Enterprise Linux 7 64 位 "。 


= 









RULES CO: 
D) Microsoft Windows(W) idR |HPRHEL7 x86 64 
© Lnux(L) 

中 Novel NetWare(E) 位 置 (L); 

由 DAERUISERE EUR TIG HEASRHEL7 xB6 64 


EX 4 IDE Toe a n 











(zr-eg][r-su»]| ma |] 






Workstation « | FEER i 


Ti AE Tn 












Lii 
MiB) 99b? 








HEIL EAAS PHREHE CERE UHR h o 这 些 文件 最 初 很 
小 ， Bist frog b RERET RETEA - 









最 大 拼盘 大 小 (GBS): 200 < 
针对 Red Hat Enterprise Linux 7 64 位 的 建议 大 小 : 20 GB 






^ Pli AARAA) 
9 将 虚 以 磁盘 拆 分 成 这 个 文件 (时 ) 


tius. TUER HHEN RENN Ber ese ROC RRG 
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第 9 步 ; 选择 “设置 光驱 "， 选 择 到 RHEL7 镜像。 ibid lids MM 


7| guzhBdita(O) 





d Bznmitsm Oo | 
GRRE WA is 网 络 连 摘 
o USB gwa 存在 PAWE) Feist 8): Brisdpietnigios | 
PEE elem : 
=EN 存在 
gura eti 9 快 用 150 RRTM): AFTA 自动 检测 NAT (stu): 用 于 益 京 主机 的 TP 地 址 
DA Lini; Z5» el > | ACB)... | 9 (OX ULOSEUIH): 与 主机 共享 的 专用 相当 
HELU): 特定 诬 拟 网 络 
mV Jesse 
bAN ERIL) 
\ | 
LAN ES)... | | BC) | 
e hA)... PER) ^e MNA)... iR) 






FRAN 


eos e ende 
单 击 完成 MEHUN. ASLA Red Hat Enterprise Linux 7 64 位。 









Mem T» EG ERU 





SI MEI HIHERHEL7 x86 64 
位 置 : D0;\ 碟 氛 机 安装 目录 证 赔 企 业 绢 RHEL7_x86_64 
Ht: Workstaton 11.0 

Red Hat Enterprise Linux 7 64 位 










20 GB, 拆 分 

内 存 ; 2048 MB 

Pec: 保 主 机 模式 
m: CD/DVD, USB 控制 器 , FEDIL W-E 









1.3 VM 安装 RHEL7 系统 
通过 上 面 小 节 已 经 将 虚拟 机 配置 完毕 ， 现 在 正式 安装 红 帽 RHEL7 系统 啦 。 
第 1 步 :启动 RHEL 的 主机 电源 。 第 2d X. 


key to begin the installation process. 


Install Red Hat Enterprise Linux 7.8 


ni media e all Red Hat Enter 





A^ 
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第 3 步 :等 待 即 可 。 第 4 步 :选择 安装 系统 时 的 语言 。 


RED HAT ENTERPRISE LINUX 7.0 INSTALLATION 
E us 


ming ` . . * through 


in ini ^ through 


073 d 2:0:€6 Issuning di i i through 
tarted Show Plunouth Boot Screeci 
Reached arget Path 


WELCOME TO RED HAT ENTERPRISE LINUX 7.0. 





Reached target Basic System. What language would you like to use during the installation process? 
tgqucuc [903]: mount devu/sr0 A s 

Led dra ritoueue hook 

ting dracut pre-mount hook English English > English (United States) 

ted dracut pre-nount hook 

ed target initrd Root File Afrikara English (United Kingdom 

ting Reload Configuration fros E , í 

ted Reload onf iguration from hnc Engl sh (India 

ied TITLE vitrd File System : Fnalish (Australia 

ting dracut nount hook ius pal Ee 

ted dracut mount hook ; English (Canada) 

TER irget iitrd Default Tar 可 

English (Denmark 
Asturianu 


English (New Zealand) 
Bbnrapcexn English (Nigeria) 


English (Hong Kong SAR China 





第 5 步 :配置 信息 界面 , 敲 击 “Installation Destination”. 第 6 步 : 进 入 后 选择 硬盘 并 点 击 左 上 角 “Done 。 


INSTALLATION SUMMARY RED HAT ENTERPRISE LINUX 7.0 INSTALLATION INSTALLATION DESTINATION RED HAT ENTERPRISE LINUX 7.0 INSTALLATION 


e. = 





Jevice Selection 


DATE & TIME KEYBOARD 


Americas/New York timezone English (US) 


Select the device(s) you'd like to install to. They will be left untouched until you click on the main menu's 
"Begin Installation" button 


Local Standard Disks 
LANGUAGE SUPPORT 


English (United States) 20.48 GB 


SOFTWARE 一 他 
VMware, VMware Virtual S 





INSTALLATION SOURCE SOFTWARE SELECTION sda / 96923KB free 
Local media Server with GUI 
f re here € h 
SYSTEM Specialized & Network Disks 
Add a disk... 
INSTALLATION DESTINATION NETWORK & HOSTNAME M 
A Automatic partitioning selected Not connected 
eft elected here jé he 
2ther Storage Options 
duit 
Partitioning 
© Automatically configure partitioning 7 migure partitioning 
Full disk summary and bootloader l disk selected; 20.48 GB capacity; 969.23 kB free 











SOFTWARE SELECTION RED HAT ENTERPRISE LINUX 7.0 INSTALLATION 
- 
Base Environment Add-Ons for Selected Environment 
Minimal Install Backup Server 
Basic functionality Software t entralize ir infrastructure 
Infrastructure Server Dackus 
erver fi r perating netw rk infr astructure services DNS Name Server 
This package group all jou to run a DNS name 
File and Print Server r (GINU) on the system 
File, print, and storage server for enterprises Directory Server 
Machne and user identity serve 
Basic Web Server E-mail Server 
Server f serving static and dynamic internet content Allows the system to act as a SMTP and/or IMAP e 
mail serve 
Virtualization Host FTP Server 
Minimal virtualization host Allows the system to act as an FTP server 
Server wRh GUI 
Server for operating network infrastructure services, File and Storage Server 
with a GUI. CIFS, SMB, NFS, iSCSI, iSER, and ISNS networl 
orage serve 


Hardware Monitoring Utilitie s 


^ set f to 5 to monitor server hardware 


《Linux 就 该 这 么 学 》 


NETWORK & HOSTNAME 


Don= 


四 Ethernet lero16777736) 


intel Corporation PRO1000 MT Singla Part Adapter 








Hostname 


F 
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8 步 :返回 主页 面 后 再 点 击 "Network & Hostname" 后 设置 主机 名 "linuxprobe.com"。 


RED HAT ENTERPRISE LINUX 7.0 INSTA 


第 9 步 :一 切 就 绪 后 返回 主页 面 并 反击 “Begin Installation", 


CONFIGURATION RED HAT ENTERPRISE LINUX 7.0 INSTALLATION 


USER SETTINGS 


ROOT PASSWORD 
A Root password is not set 


USER CREATION 


A No user will be created 


t. Creating Ivmpv on /dev/sda2 


WOULDN'T IT BE GREAT TO 
FOCUS ONLY ON DEVELOPING APPS? 


That's what Platform-as-a-Service is all about. redhat.com/openshift 





第 11 步 :设置 Root PERS 〈 简 单 密码 请 双击 Done) 


ROOT PASSWORD RED HAT ENTERPRISE LINUX 


Enter a password for the root user 


Done 


The root account is used for administering the system 
Root Password: 9*e*eeeee 


Weak 


Confirm 








7.0 INSTALLATION 





conn 





Ethernet (eno16777736) 


ected 








OFF 


Conhqure 


第 10:&3 "Root Password”. 


CONFIGURATION RED HAT ENTERPRISE LINUX 7.0 INSTALLATION 


USER SETTINGS 


Ça 


ROOT PASSWORD 
Root password is set 


USER CREATION 


No user will be created 





'* Installing libgnome (868/1189) 


WOULDN'T IT BE GREAT TO 


FOCUS ONLY ON DEVELOPING APPS? 


That's what Platform-as-a-Service is all about. 


redhat.com/openshift 


第 12 步 :等 待 安装 完成 后 点 击 “Reboot”。 


CONFIGURATION RED HAT ENTERPRISE LINUX 7.0 INSTALLATION 


E us 


Complete 


Red Hat Enterprise Linux 1s now 





Successfully installed on your system and ready for you to 


and reboot to start using it! 
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第 13 步 :重启 后 选择 “License Instormation 。 
第 14 步 :选中 “] accept the license agreement" JE i: “Done”. 


INITIAL SETUP RED HAT ENTERPRISE LINUX SEF 





LOCALIZATION 


LICENSE INFORMATION 
icense not accepted 


USER SETTINGS 


USER CREATION 
No user wil! be creati 





第 153 “Finish Configuration", 第 16 步 :为 本 书后 章 讲 到 的 “Kdump Ur B GU). 





INITIAL SETUP RED HAT ENTERPRISE LINUX SEF 
gs Kdump 
LOCALIZATION crash kr: wl capture edo T : 
ry LICENSE INFORMATION > 
ed m 
USER pedea 
第 17 步 :选择 “No.I prefer to register at later time.", 第 18 步 :选择 系统 语言 (本 书 例题 用 英文 版 完成 )。 


i )3:1 





Subscription Management Registration 
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第 19 步 :选择 输入 资源 ， 默 认 即 可 。 第 20 步 :创建 一 个 本 地 用 户 (权限 比 Root 小 ， 但 更 加 安全 )。 


1 











Creste a Local Account 


Nert 


第 21 步 :设置 系统 时 间 (上 海 .中 国 )。 第 22 步 :选择 “Start using Red Hat Enterprise Linux Server", 


l 


Location 


Choose Your Location 


Start uong Hed Hat Enterprise Liu Server 


第 23 步 : 茶 喜 ， 您 已 经 顺利 的 安装 了 红 帽 RHELT 操作 系统 。 


".- 
laces ‘stp *« C Tue 162! 





GNOME Help 


Li 


Getting Started 


o 


o 





Common Tasks 


GNOME Help 


或 使 用 KVM 安装 系统 
VmwareWorkstation 可 并 不 是 唯一 能 够 实现 虚拟 化 的 软件 ， 如 果 您 之 前 学 习 过 Linux 系统 或 有 一 定 的 命令 行 基础 ， 
并 且 想 试 试 在 linux 系统 中 安装 其 他 系统 ， 现 在 就 教 给 您 操作 方法 ， 新 手 读者 请 先 跳 过 这 个 小 节 吧 ~ 





KVM (Kernel Virtual Module) 能够 提供 像 Vmware 一 样 的 全 虚拟 化 功能 一 一 让 虚拟 机 用 起 来 跟 真 实物 理 机 一 摸 一 样 。 
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安装 KVM 之 前 我 们 要 检查 真实 物理 机 是 否 支 持 虚拟 化 功能 : 
[root@linuxprobe ~|# grep vmx /proc/cpuinfo 
flags: fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts mmx fxsr sse sse2 ss 
syscall nx rdtscp Im constant. tsc arch. perfmon pebs bts nopl xtopology tsc reliable nonstop. tsc aperfmperf pni 
pclmulqdq vmx ssse3 cx16 pcid sse4. 1 sse4. 2 x2apic popcnt aes xsave avx f16c rdrand hypervisor lahf lm ida 
arat epb pln pts dtherm tpr shadow vnmi ept vpid fsgsbase smep 
如 果 执 行 该 命令 后 没有 输出 vmx 或 svm 值 ,但 您 的 电脑 是 近 几 年 买 来 的 , 那么 很 有 可 能 只 是 在 BIOS 中 默认 关闭 了 ， 
请 去 开启 试 试 吧 ! 

Inter 处 理 器 的 虚拟 技术 标志 为 vmx。 

AMD 处 理 器 的 虚拟 技术 标志 为 svm。 
安装 KVM 以 及 相关 的 依赖 软件 包 : 
[root@linuxprobe ~|# yum -y groupinstall "Virtualization Host" 
[rootelinuxprobe ~|# yum -y groupinstall "Virtualization Host" 


Loaded plugins: langpacks, product-id, subscription-manager 


Complete! 
[rootelinuxprobe ~|# yum -y install virt-(install,viewer,managerj 


Loaded plugins: langpacks, product-id, subscription-manager 


Complete! 
为 了 让 KVM 中 虚拟 机 能 够 互相 共享 数据 ， 还 必需 配置 真实 机 的 网 络 : 
让 系统 支持 ipv4 的 转发 功能 : 
[root@linuxprobe ~|# echo "net.ipv4.ip forward = 1 > /etc/sysctl.d/99-ipforward.conf 
让 转发 功能 立即 生效 : 
[root&linuxprobe ~|# sysctl -p /etc/sysctl.d/99-ipforward.conf 
net.ipv4.ip_forward = 1 
新 手 读 者 们 请 注意 ， 前 方 高 能 : 
如 果 您 还 没有 学 习 过 Linux 命令 ，Vim 编辑 此 与 网 卡 配 置 方 法 的 话 请 先 跳 过 本 小 市 1 
将 网 卡 配置 文件 中 的 IP 地址 、 子 网 掩 码 等 信息 注释 后 追加 参数 BRIDGE=virbr0O( 设 置 网 卡 为 桥接 模式 ): 
[root@linuxprobe ~|# vim /etc/sysconfig/network-scripts/ifcfg-eno 16777736 
DEVICE="eno16777736" 
ONBOOT=yes 
#IPADDR="192.168.10.10" 
#NETMASK="255.255.255.0" 
#GATEWAY="192.168.10.1" 
HWADDR=" 网 卡 的 MAC 地 址 " 
#DNS1="192.168.10.1" 
BRIDGE-virbrO 
创建 用 于 桥接 网 卡 的 配置 文件 (与 上 面 的 配置 文件 很 相似 ) : 
[root@linuxprobe ~|# vim /etc/sysconfig/network-scripts/ifcfg-virbrO 
DEVICE-"virbrO" 
TYPE-BRIDGE 
ONBOOT-yes 
BOOTPROTOestatic 
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IPADDR-'192.168.10.10" 
NETMASK-'255.255.255.0" 
GATEWAY-z'192.168.10.1" 
DNS1="192.168.10.1" 
34 KVM 安装 完成 并 将 网 卡 配置 妥当 后 请 重启 (reboob 后 再 进行 下 面 的 检查 操作 : 
检查 kvm 模块 是 否 被 加 载 以 及 能 否 正常 的 使 用 CPU 虚拟 化 功能 : 
[rootelinuxprobe ~]# lsmod | grep kvm 
kvm intel 138567 0 
kvm 441119 1 kvm intel 
检查 桥接 的 网 卡 配 置 是 否 启用 成 功 : 
[root@linuxprobe ~|# ip show virbrO 
3: virbrO: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP 
link/ether 00:0c:29:9c:63:73 brd fFfETETETEIT 
inet 192.168.10.10/24 brd 192.168.10.255 scope global virbrO 
valid lft forever preferred lft forever 
inet6 fe80::20c:29ff:fe9c:6373/64 scope link 
valid lft forever preferred lft forever 
获取 虚拟 机 列表 (默认 为 空 是 正常 的 ) : 
[root@linuxprobe ~|# virsh -c qemu:///system list 
Id Name State 
AKAT! 现在 来 配置 虚拟 机 参数 吧 : 
[root@linuxprobe ~|# virt-manager 
第 1 步 : 填写 虚拟 机 名 称 和 设置 安装 模式 。 第 2 步 : 选中 RHEL7 镜像 并 设置 系统 类 型 。 


New VM New VM 


| p" Create a new virtual machine | Ja Create a new virtual machine 





Enter your virtual machine details Locate your install media 


Connection: localhost (QEMU/KVM) | RHEL-7.0. Server.x&6. 64 (/dev/srO) 'w | 


Y 


! Use CDROM or DVD 








& Use 15 口 image: 


Choose how you would like to install the operating system tmp/RHEL-server-7.0-x86..64-LinuxPr v | Browse... | 


& Local install media (ISO image or CDROM) V 选 择 镜 像 安 装 
^5 Network Install (HTTP, FTP, or NFS) 








C Network Boot (PXE) Eie saeva cni ta a pt Geist lien iiS metui er de ort eee ust nd eke trem sericea ia nii tn 


^! Import existing disk image Version: | Red Hat Enterprise Linux 7 v 


| Cancel | | Back | | Forward | Cancel | | Back | | Forward | 
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第 3 步 : 设置 内 存量 与 CPU 核 数 。 第 4 步 定义 硬盘 容量 。 


New VM New VM 


| p" Create a new virtual machine | a Create a new virtual machine 























Choose Memory and CPU settings W Enable storage for this virtual machine 
Memory (RAM): | 2048 — | + | MB Create a disk image on the computer's hard drive 
Up to 3778 MB available onthe host | 8 o -— | GB BEA 
ons | 4| s | CPU 核 数 10.3 Gb available in the default Location 





Up to 4 available W Allocate entire disk now ts DEJWE 














Cancel | | Back | | Forward | | Cancel | | Back | | Forward | 


第 53v: 检查 配置 后 开启 虚拟 机 。 


New VM 


| n Create a new virtual machine 





Ready to begin installation of rhel7 
OS: Red Hat Enterprise Linux 7 
Install: Local CDROM/ISO 
Memory: 2048 MB 
CPUs: 4 
Storage: 8.0 GB /var/lib/libvirt/images/rhel7 img 


4 Customize configuration before install 


* Advanced options 


Cancel | | Back | | Finish 





























1.4 配置 VNC 服务 程序 

VNC 虚拟 网 络 计 算 机 (Virtual Network Computin 多 是 一 款 由 欧洲 实验 室 AT&T 研发 的 远程 控制 程序 , VNC 服务 程序 
可 以 运行 在 类 Unix 计算 机 系统 之 上 ， 拥 有 强大 的 远程 控制 能 力 ， 高 效 且 实用 。 

如 果 您 是 Linux 初学 者 或 不 需要 远程 控制 功能 ， 请 先 翻 过 本 小 节 ， 等 学 完 Linux 命令 了 再 来 学 ~ 

在 红 帽 RHEL7 系统 中 VNC 的 服务 软件 包 叫 做 tigervnc-server: 

[root@linuxprobe ~|# yum install tigervnc-server 


Loaded plugins: langpacks, product-id, subscription-manager 


Installing: 
tigervnc-server x86 64 1.2.80-0.30.20130314svn5065.el7 . rhel7 199 k 


Complete! 
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复制 一 份 vnc 服务 程序 的 配置 文件 (文件 名 中 的 :3 代表 5903 端口 ): 


[root&linuxprobe ~|# cp /lib/systemd/system/vncserverQ service /etc/systemd/system/vncserver@:3.service 
编辑 vnc 服务 的 配置 文件 ， 将 所 有 的 修改 为 linuxprobe H P : 
[root@linuxprobe ~|# vim /etc/systemd/system/vncserverQ:3.service 
[Unit] 

Description=Remote desktop service (VNC) 

After=syslog.target network.target 

[Service] 

Type=forking 

# Clean any existing files in /tmp/.X1 1-unix environment 
ExecStartPre-/bin/sh -c /usr/bin/vncserver -kill 96i > /dev/null 22&1 ||: 
ExecStart-/sbin/runuser -| «USER» -c "/usr/bin/vncserver 96i" 
PIDFilez/home/«USER-/.vnc/96H96i.pid 

ExecStop-/bin/sh -c /usr/bin/vncserver -kill 96i > /dev/null 22&1 ||? 
[Install] 

WantedBy-multi-user.target 

配置 防火 墙 规则 : 

[root@linuxprobe ~|# firewall-cmd --permanent --zone-public --add-port-5903/tcp 
Success 

[rootelinuxprobe ~|# firewall-cmd reload 

SUCCESS 

使 用 linuxprobe 用 户 设置 连接 密码 : 

[linuxprobe@linuxprobe ~]$ vncserver 

You will require a password to access your desktops. 
Password: 此 处 输入 连接 密码 

Verify: 此 处 再 次 输入 密码 

New linuxprobe.com:1 (linuxprobe)' desktop is linuxprobe.com:1 
Creating default startup script /linuxprobe/.vnc/xstartup 

starting applications specified in /linuxprobe/.vnc/xstartup 

Log file is /linuxprobe/.vnc/linuxprobe.com:1.log 

将 vncserver 服务 程序 启动 并 加 入 到 开机 启动 项 中 : 

[root@linuxprobe ~|# Systemctl start vncserver@:3.service 


[root&linuxprobe ~|# systemctl enable vncserver@:3.service 


此 时 便 可 以 使 用 vnc AE È i LEN 


VNC& Viewer 


WNC Server: IERA ALM E] 


Encryption: | Let VNC Server choose ™ 





第 19 页 
(Linux 就 该 这 么 学 》 HTTP://www.linuxprobe.com 
但 是 如 果 您 出 现 了 这 样 的 报错 : 
xauth: (stdin):1: bad display name "linuxprobe.com:1" in "add" command 
代表 您 的 主机 名 (hostname) 不 能 被 ping 通 ， 请 执行 这 行 命 令 : 
echo "127.0.0.1 linuxprobe.com' > /etc/hosts 


1.5 € Root 用 户 密 码 

RH HADEERIRXOENETROKAI, BSZTqESwuITHU. SEES RSSIEJU,, —dEX AURI 红 帆 
RHEL6 系统 与 红 帼 RHEL7 系统 破解 系统 密码 方法 完整 版 :http://www .linuxprobe.com/reset-root-password/ 
邵 果 您 是 刚刚 接手 了 一 全 Linux 系统 ， 请 先 确 认 这 全 系统 是 不 是 红 帽 RHEL7 系统 再 进行 下 面 的 操作 哦 : 


[root@linuxprobe ~|# cat /etc/redhat-release 





Red Hat Enterprise Linux Server release 7.0 (Maipo) 


第 1 步 : 开机 后 在 内 核 上 散 击 e. 


Red Hat Enterprise Linux Serwer，Mith Linux 3.1H. H-123.6817. x85 b4 
Red Hat Enterprise Linux Server, with Linux B-rescue-112e8cbeH55841b2974» 


lise the f and 4 keys to change the selection. 
Press 'e' to edit the selected item, or 'c' for a command prompt. 
The selected entry Mill be started automatically in 5s. 





€ 2: 在 linux16 xctl /& Wi M “rd.break” Aiti "ctrlex “o 


insmod xfs 
set ronaot-'hdH,mzdosi' 
if [ x$feature platform search hint = xy ]; then 
search --no-floppu --fs-uuid --set-root --hint-bios-hdBH,msdosi --hin* 
—efi-hdB,msdosi1 --hint-baremetal-ahciH,msdozsi --hint-'hdH,msdosi' 5fdbB8cB8H-H* 
ja-4b47-87ee-b225adBHf^5a54 
else 
search --no-floppu --fs-uuid --set-root 5fdbB8c8H-Ha3a-4db47-878e-b225*. 
ddfSasd 
fi 
linuxi6 zvmlinuz-ĵ3. i16. ġ-123.e17.x86_64 root=UUID0D=839848c2-4663-4223-a7™ 
52-eHB7bfid3e5?d ro rd.luvm.lou-rhel^root crashkernel-auto  rd.lum.lo-rhel^smap vs 
onsole.font-latarcyrheb-sun1Bb vconsole.keymap-us rhgb quiet LüHB-en lUS.lUTF-8 * 


initrdi1b ^initramfs-3.1H.H-1273. 817. xB8b b4. img i 


Press Ctrl-x to start, Ltrl-c for a command prompt or Escape to 
discard edits and return to the menu. Pressing Tab lists 
possible completions. 
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第 3 步 : 进入 到 了 系统 的 紧急 求援 模式 。 





第 AI 依次 输入 以 下 命令 。 
mount -o remount,rw /sysroot 
chroot /sysroot 
echo "linuxprobe' | passwd --stdin root 
touch /.autorelabel 
exit 


reboot 





1.6 安装 虚拟 机 增加 包 
VMware Tools 是 VMware 虚拟 机 中 自 带 的 增强 工具 包 ， 用 于 增强 虚拟 机 显卡 与 硬盘 性 能 、 同 步 虚 拟 机 与 主机 的 时 钟 
时 间 、 最 主要 的 是 可 以 支持 虚拟 机 与 主机 之 间 的 文件 拖 搜 传输 。 
(Linux 就 该 这 么 学 》 的 第 二 章 才 会 正式 接触 Linux 命令 ， 所 以 此 刻 您 暂且 无 需 对 下 面 的 安装 过 程 完 全 理解 。 
第 1 步 :在 虚拟 软件 中 选择 “安装 /重新 安装 VMware Tools(T)” 


E) RHEL7-1 - VMware Workstation = ae TT” te 
ZAA SE EAM | uM EET wH) dH : £2412|IE EH SS 
mo MENDA — 








z ; v 
f Applicati MUI Cid sShift + Qi Tue 11:41 root 





第 2 步 :安装 VMwareTools 功能 增加 包 GRH root 用 户 登陆 系统 ) : 
创建 /media/cdrom H5: 

[root@linuxprobe ~|# mkdir -p /media/cdrom 

将 光驱 设备 挂 载 到 该 目录 上 : 


[root@linuxprobe ~|# mount /dev/cdrom /media/cdrom 
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进入 到 该 挂 载 目录 : 


[rootelinuxprobe -]* cd /media/cdrom 

将 功能 增强 包 复 制 到 /home 目录 中 : 

[root@linuxprobe cdrom| cp VMwareTools-9.9.0-230497 7 tar.gz /home 
进入 到 /home 目录 中 : 

[rootelinuxprobe cdrom|# cd /home 

解压 功能 增强 包 : 

root@linuxprobe homel|# tar xzvf VMwareTools-9.9.0-2304977 .tar.gz 
vmware-tools-distrib/ 

vmware-tools-distrib/FILES 

vmware-tools-distrib/doc/ 
vmware-tools-distrib/doc/open_source_licenses.txt 
vmware-tools-distrib/doc/INSTALL 
vmware-tools-distrib/doc/README 

vmware-tools-distrib/installer/ 
vmware-tools-distrib/installer/services.sh 
vmware-tools-distrib/installer/guestproxy-ssl.conf 
vmware-tools-distrib/installer/thinprint.sh 


vmware-tools-distrib/installer/upstart-job.conf 


进入 解压 文件 夹 中 : 

[root@linuxprobe homel# cd vmware-tools-distrib/ 

运行 安装 脚本 并 加 上 参数 -d， 代 表 默 认 安 交 : 

[root@linuxprobe vmware-tools-distrib|# ./vmware-install.pl -d 

The installer has detected an existing installation of open-vm-tools on this 
system and will not attempt to remove and replace these user-space 
applications. It is recommended to use the open-vm-tools packages provided by 
the operating system. If you do not want to use the existing installation of 
open-vm-tools and attempt to install VMware Tools, you must uninstall the 
open-vm-tools packages and re-run this installer. 

The installer will next check if there are any missing kernel drivers. Type yes 


if you want to do this, otherwise type no [yes] 


当 您 看 到 这 个 字样 后 ， 重 启 后 即 可 正常 使 用 VmwareTools 9, 

Creating a new initrd boot image for the kernel. 

starting Virtual Printing daemon: done 

Starting vmware-tools (via systemctl): [ OK | 

The configuration of VMware Tools 9.9.0 build-2304977 for Linux for this 
running kernel completed successfully. 

Enjoy, 

--the VMware team 

^ 3: 重新 启动 系统 后 生效 : 


[root@linuxprobe ~|# reboot 
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1.7 重要 的 守护 进程 
当 给 一 台 主 机 安装 上 Linux 系统 后 就 可 以 工作 了 一 一 包括 接受 用 户 的 输入 /计算 /存储 /再 将 结果 输出 等 等 ， 这 是 都 是 
系统 服务 帮助 我 们 完成 的 。 而 有 一 些 系 统 服 务 需要 时 刻 等 待 用 户 的 输入 《如 键盘 进程 ) 或 随时 响应 用 户 的 请 求 〈( 如 网 
站 服务 进程 ) 等 等 。 
守护 进程 (Daemon) 通常 会 随 系 统 尼 动 时 激活 并 随 系统 关闭 时 停止 ， 一 直 在 系统 后 全 中 默默 为 用 户 提供 服务 : 


守护 进程 名 称 用 处 

crond 计划 任务 

dhcpd 动态 IP 地 址 分 配 服 务 (DHCP) 
httpd 网 站 服务 

Ipd 打印 服务 器 

named 域名 解析 服务 (DNS) 

nfs 文件 共享 服务 (NFS) 

smb 文件 共享 与 打印 服务 (SAMBA) 
syslog 系统 日 志 

gpm 鼠标 进程 


1.8 Zr B APERTE TE aE 
在 红 幅 软件 包 管 理 器 RPM) 公布 之 前 要 想 在 Linux 系统 中 安装 软件 只 能 采取 “源码 包 ” 的 方式 安装 ， 早 期 在 Linux 
系统 中 安装 程序 是 一 件 非常 困难 ,耗费 耐心 的 事情 ， 因 为 大 多 数 的 服务 程序 仅仅 提供 编译 源码 ， 需 要 运 维 人 员 自 行 纺 
译 代码 并 解决 许多 的 依赖 关系 ,源码 安装 需要 运 维 人 员 有 很 多 的 知识 、 高 超 的 技能 、 甚 至 很 好 的 耐心 才能 安装 好 一 个 
程序 ， 而 且 在 安 闭 、 升 级 、 仓 载 时 还 要 考虑 到 其 他 程序 、 库 的 依赖 关系 ， 所 以 管理 员 在 校 验 、 安 装 、 仓 载 、 查 询 、 升 
级 等 管理 软件 操作 时 难度 非常 大 。 
而 RPM 机 制 则 为 解决 这 些 问题 而 设计 的 ，RPM 原 称 为 “Redhat Package Manager”， 因 其 卓越 的 优势 很 快 被 公众 
认可 ， 目 前 使 用 范围 也 已 不 局 限 在 红 帆 系统 中 了 。RPM 会 建立 统一 的 数据 库 文件 ， 详 细 的 记录 软件 信息 并 能 够 自动 
分 析 依 赖 关系 ， 顺 有 一 些 “ 软 件 控制 面板 ”的 感觉 。 

安装 软件 :rpm -ivh filename. rpm 

升级 软件 :rpm -Uvh filename.rpm 

HRK fF:rpm -e filename.rpm 

查询 软件 的 描述 信息 :rpm -gpi filename.rpm 

列 出 软件 的 文件 信息 :rpm -qpl filename.rpm 

查询 文件 属于 那个 RPM:rpm -qf filename 
虽然 RPM 能 够 帮助 用 户 查 询 软 件 相 关 的 依赖 关系 ， 但 问题 还 是 要 自己 解决 ， 有些 大 型 软件 需要 数 十 个 依赖 包 也 是 不 
小 的 负担 。 





1.9 Yum 软件 仓库 
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Yum 仓库 则 是 为 进一步 简化 RPM 管理 软件 难度 而 设计 的 ，Yum 能 够 根据 用 户 的 要 求 分 析出 所 需 软 件 包 及 其 相关 依 
赖 关系 ， 自 动 从 服务 右 下 载 软件 包 并 安装 到 系统 ， 听 起 来 就 已 经 很 爽 了 吧 ? 


yum 软件 仓库 的 使 用 拓扑 图 





用 户 能 够 根据 需求 来 指定 Yum 仓库 与 是 否 校 验 软件 包 ， 而 这 些 只 需 儿 条 关键 词 即 可 完成 ， 现 在 来 学 习 下 配置 的 方法 . 
所 有 Yum 仓库 的 配置 文件 均 需 以 .repo 结尾 并 存放 在 /etc/yum.repos.d/ 目 录 中 的 。 


[rhel-media]: yum 源 的 名 称 ， 可 自 定 义 。 


baseurl-file:///media/cdrom :提供 方式 包括 FTP (ftp//.). HTTP (http://..)、 本 地 (file///.) 


enabled=1 :设置 此 源 是 否 可 用 ，1 为 可 用 ，0 为 禁用 。 


gpgcheck-1 :设置 此 源 是 否 校 验 文件 ，1 为 校 验 ，0 为 不 校 验 。 
gpgkey=file:///media/cdrom/RPM-GPG-KEY-redhat-release : 阁 为 校 验 请 指定 公 钥 文件 地 址 。 
Yum 仓库 中 的 RPM 软件 包 可 以 是 由 红 帆 官方 发 布 的 ， 也 可 以 是 第 三 方 组 织 发 布 的 ， 当 然 用 户 也 可 以 编写 的 ~ 
本 书 提 供 的 镜像 光盘 内 已 经 包含 了 大 量 的 可 用 RPM 软件 包 ， 将 会 在 后 面 的 实验 章节 中 为 大 家 演示 如 何 使 用 。 


命令 

yum repolist all 

yum list all 

yum info 软件 包 名 称 

yum install 软件 包 名 称 
yum reinstall 软件 包 名 称 
yum update 软件 包 名 称 
yum remove 软件 包 

yum clean alla 

yum check-update 

yum grouplist 

yum groupinstall 软件 包 组 
yum groupremove 软件 包 组 


yum groupinfo 软件 包 组 


作用 


列 出 所 有 仓库 。 


列 出 仓库 中 所 有 软件 包 


查看 软件 包 信 息 


升级 软件 包 


移 除 软件 包 


清除 所 有 仓库 缓存 


检查 可 更 新 的 软件 包 


查看 系统 中 已 经 安装 的 软件 包 组 


安装 指定 的 软件 包 组 


移 除 指定 的 软件 包 组 


查询 指定 的 软件 包 组 信息 
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第 2 章 新 手 必须 掌握 的 Linux 命令 。 
章节 简 述 : 
本 章节 讲述 系统 内 核 、Bash 解释 器 的 关系 与 作用 ， 教 给 读者 如 何 正确 的 执行 Linus 命令 以 及 常见 排 错 方法 。 
经 验 丰富 的 运 维 人 员 可 以 恰当 的 组 合 命令 与 参数 ， 使 Linux 字符 命令 更 加 的 灵活 且 相 对 减少 消耗 系统 资源 。 
已 经 收录 了 上 百 个 最 常用 的 Linux 命令 ， 其 中 有 数 十 个 命令 被 放 到 了 后 面 的 章节 ， 到 时 候 咱 们 再 随 用 随 学 ~ 


2.1 强大 好 用 的 SHELL 

计算 机 硬件 是 由 运算 瞧 、 控 制 花 、 存 储 瞧 、 输 入 /输出 设备 等 设备 组 成 的 ， 而 能 够 让 机 箱 内 各 种 设备 各 司 其 职 东西 就 
叫做 一 一 系统 内 核 。 内 核 负 责 了 驱动 硬件 、 管 理 活动 和 分 配 / 管 理 硬 件 资源 ， 如 此 说 来 系统 内 核对 计算 机 来 讲 可 真 的 是 
大 重要 了 ， 所 以 它 不 能 直接 让 用 户 操作 。 

因为 用 户 不 能 直接 控制 硬件 也 不 能 直接 操作 内 核 ， 于 是 便 需 要 基于 “系统 调用 接口 ”开发 出 的 程序 /服务 来 满足 用 户 
日 常 工作 了 。 







系统 调用 接口 
内 核 


硬件 


首先 承认 在 红 帽 RHEL7 中 有 些 诸如 逻辑 卷 管理 器 LVM) 的 图 形 化 工具 非常 好 用 ， 也 减少 了 运 维 人 员 操 作出 错 的 几 
率 ， 值 得 称赞 ， 但 一 直 以 来 Linux 运 维 人 员 更 多 的 倾向 于 用 命令 写 脚本 程序 ， 因 为 图 形 化 的 工具 不 灵活 而 且 相 比 来 
说 更 加 消耗 系统 资源 。 

其 实 很 多 图 形 工具 也 是 调用 脚本 来 工作 的 ， 但 功能 却 被 “ 阁 割 ”了 ， 更 缺乏 了 灵活 性 ， 所 以 有 些 运 维 人 员 其 至 都 不 会 
给 Linux 系统 安装 图 形 界面 ， 需 要 工作 了 直接 远程 连接 过 去 ， 不 得 不 说 这 样 做 真 的 所 高 效 的 。 

"Shell “也 可 称 为 “ 壳 ”， 充 当 的 是 人 与 内 核 (硬件 ) 








的 翻译 官 ， 用 户 将 一 些 命令 “告诉 ”Shell， 它 就 会 调用 相应 计算 机 用 户 
A 


的 程序 服务 执行 工作 啦 , 很 厉害 吧 ~~ 现 在 包括 红 帆 系统 在 内 
的 许多 热门 Linux 系 统 主流 默认 字符 Shell 是 Bash(Bourne- 
Again SHell). 

读者 要 明白 bash 作为 大 多 数 linux RAN EG SE TEACRE 8, 
必须 必须 必须 得 学 好 ! Bash 的 优势 : 

1 .默认 保存 历史 命令 《可 用 上 下 键 翻 看 ) 

2. 命 令 仅 需 输 入 前 几 位 就 可 以 用 tab 键 补 全 (RHEL7 更 牛 的 
是 参数 补 全 ) 

3. 强 大 的 批 处 理 脚本 

4. 实 用 的 环境 变量 
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2.2 执行 命令 与 查看 帮助 
既然 有 了 如 此 好 用 的 “翻译 官 ”， 那 么 接 下 来 就 有 必要 好 好 学 习 下 如 何 更 高 效 的 和 它 沟通 了 ~ 
要 想 准 确 的 、 高 效 的 完成 工作 ， 不 能 够 光 靠 命令 本 身 ， 还 应 该 根据 实际 情况 来 组 合 各 种 命令 选择 和 命令 参数 : 
命令 名 称 [命令 参数 ] [命令 对 象 ] 
注意 :命令 名 称 、 命 令 参 数 、 命 令 对 象 之 间 请 用 空格 键 分 隔 。 
比较 好 理解 的 是 命令 对 象 ， 命 令 对 象 一 般 是 指 要 处 理 的 目标 (普通 文件 /目录 文件 /用 户 等 等 )， 而 命令 参数 对 于 新 
手 来 讲 比较 麻烦 ， 因 为 这 个 值 会 随 命令 的 不 同和 和 环境 情况 的 不 同 而 异 ， 所 以 在 参数 选择 搭配 上 需要 长 时 间 的 经 验 积 
AA Wu. 
命令 的 参数 可 以 选用 长 格式 (完整 的 选项 名 称 ) 也 可 选用 短 格 式 (单个 字母 的 缩写 ), 分 别 用 ”一 “与 ”一 “做 前 级 。 
长 格式 如 :man - help 
短 格式 如 :man -h 
当 遇 到 了 一 个 陌生 命令 后 如 何 知 道 它 有 那些 可 用 的 参数 ? 这 时 就 可 以 用 man 命令 了 。 
本 书 将 man 命令 作为 第 一 个 要 学 的 Linux 命令 是 因为 它 的 作用 非常 强大 一 一 可 用 于 查看 命令 的 具体 可 用 参数 与 对 
象 格式 等 等 。 
运行 虚拟 机 中 的 RHEL7 系统 ， 并 在 桌面 上 敲 击 右键 后 点 击 “Open in Terminal "， 这 样 就 成 功 的 打开 了 一 个 终端 。 
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| Em 
输入 字符 “man man" XH man 命令 查看 自身 的 帮助 信息 。 
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rootglinuxprobe:;^/Deskto 
File Edit View Search Terminal Help 
[roctülinuxprobe Desktop]s B 
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man 命令 的 帮助 信息 界面 





rootgllinuxprobe:"/Desktop 


Search Terminal Help 
Manual pager utils MAN{1) 


man - an interface to the on-line reference manuals 


SYNOPSIS 
man [-C E "n [-D] I- Peer o Ker Ncc R encoding] [ [-L 
] ， [-M path] [-S uan, [-e 
[--regex|- ed -names-only] :-à] [-u] [--no- nbpas [-P 
pager] [-r pronat] l-7) [-E socoding) 5 si^ EM ee [| --no- justifi- 
cation] [-p string] [-t] [-T[device [-H[browser]] [-X[dpi]] [-Z] 
t section] page ...] ... 
man -k [ options] regexp . 
man -K [-w|-W] [-S list] [-i|-I) [--regex] [section] term ... 
[arntnget waint ngs]] [-R encoding] 
7] [-E e enn: [-P string] [- - 


[-r 

n pua [- Hibrouser]] [- E Xa) 下 "2] fila. 
man -w|-W [-C fiie] [-d] [-D] page 

man -c [-C file] [-d) [-D] Dii ， 


man [-?V) 


DESCRIPTION 
Manual 


man 命令 的 可 用 帮助 文档 分 类 有 : 


代码 


9 


一 般 来 讲 帮 助 文件 都 很 长 很 多 ， 如 果 你 想 翻 看 的 话 ， 就 要 理解 帮助 文档 的 目录 结构 与 操作 方法 : 


结构 名 称 


NAME 


SYNOPSYS 


DESCRIPTION 


EXAMPLES 


OVERVIEW 


代表 内 容 


内 核 调用 的 函数 与 工具 


第 见 的 函数 与 函数 库 


设备 文件 的 说 明 


配置 文件 


游戏 


惯例 与 协议 


管理 员 可 用 的 命令 


内 核 相 关 的 文件 


代表 意义 


参数 的 大 致使 用 方法 


介绍 说 明 


演示 《附带 简 单 说 明 ) 


概述 
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DEFAULTS 默认 的 功能 

OPTIONS 具体 的 可 用 选项 ( 带 介 绍 ) 

ENVIRONMENT 环境 变量 

FILES 用 到 的 文件 

SEE ALSO 相关 的 资料 

HISTORY 维护 历史 与 联系 方式 
man 命令 的 操作 按键 : 

按键 用 处 

空格 键 向 下 翻 一 页 。 

[Page Down] 向 下 翻 一 页 。 

[Page Up] 向 上 翻 一 页 。 

[HOME] 直接 前 往 首页 。 

[END] 直接 前 往 尾 页 。 

/关键 词 从 上 至 下 搜索 茶 个 关键 词 ,如 "/linux"。 

?关键 词 从 下 至 上 搜索 茶 个 关键 词 ,如 "?linux"。 

n 定位 到 下 一 个 搜索 到 的 关键 词 。 

N 定位 到 上 一 个 搜索 到 的 关键 词 。 

q 退出 帮助 文档 。 


2.3 常用 系统 工作 命令 

刚刚 学 会 了 一 个 重量 级 的 man 命令 ， 感 觉 很 不 错 吧 ? 接 下 来 就 是 常用 的 命令 啦 ， 尽 量 背 记 下 来 ， 当 然 实 在 不 行 回来 
查 也 可 以 的 ，echo 命令 用 于 在 终端 显示 字符 串 或 变量 ， 格 式 为 : “echo [字符 串 | 变量 ]”。 

将 echo 命令 的 字符 串 输 出 到 终端 : 

[root@linuxprobe ~|# echo Linuxprobe.Com 

Linuxprobe.Com 

用 echo 命令 查看 SHELL 变量 的 值 〈 前 面 有 $ 符 号 ) : 

[root@linuxprobe ~]# echo $SHELL 

/bin/bash 
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查看 本 机 主机 名 : 
[rootelinuxprobe ~|# echo $HOSTNAME 


Linuxprobe.Com 


date 命令 用 于 显示 /设置 系统 的 时 间或 日 期 ， 格 式 为 : 7 date [选项 ] [+ 指定 的 格式 ]”。 
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强大 的 date 命令 能 够 按照 指定 格式 显示 系统 的 时 间或 日 期 ， 只 需 键入 ” +” 号 开头 的 字符 串 指 定 其 格式 ， 详 细 格 元 


AT: 

参数 作用 

%t 跳 格 [TAB 键 ] 

%H 小 时 (00-23) 

961 小 时 (01-12) 

96M 4t (00-59) 

96S $^ (00-60) 

96X 相当 于 %H:%M:%S 

967. 显示 时 区 

%p 显示 本 地 AM R PM 

%A 星期 几 (Sunday-Saturday) 

%a 星期 几 (Sun-Sat) 

%B 完整 月 份 (January-December) 

%b 缩写 月 份 Uan-Dec) 

%d H (01-31) 

%j 一 年 中 的 第 儿 天 (001-366) 

%m 月 份 (01-12) 

%Y 完整 的 年 份 
查看 当前 的 系统 时 间 : 


[root@linuxprobe ~|# date 

Mon Aug 24 16:11:23 CST 2015 

按照 ”年 -月 -日 小 时 :分 钟 : 秒 ” 的 格式 : 
[root@linuxprobe ~|# date "+%Y-%m-%d %H:%M:%S" 
2015-08-24 16:29:12 
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设置 系统 时 间 为 2015 年 9 月 1 日 8 点 半 : 
[rootelinuxprobe ~|# date -s "20150901 8:30:00" 
Tue Sep 1 08:30:00 CST 2015 
查看 当前 系统 时 间 : 
[root@linuxprobe ~|# date 
Tue Sep 1 08:30:01 CST 2015 
查看 本 地 系统 时 区 : 
[root@linuxprobe ~|# date '496Z" 
CST 
查看 星期 几 : 
[rootelinuxprobe ~|# date "496A" 
Tuesday 
输入 当前 是 上 午 还 是 下 午 : 
[rootelinuxprobe Desktop]4 date "496p" 
AM 
判断 今天 是 一 年 中 的 第 几 天 : 
[root@linuxprobe ~|# date "+%j" 
244 
reboot 命令 用 于 重启 系统 ( 仅 root 用 户 可 以 使 用 ， 格 式 为 : " reboot” , 
重启 计算 机 : 
[root@linuxprobe ~|# reboot 


wget 命令 用 于 使 用 命令 行 下 载 网 络 文 件 ， 格 式 为 : “wget [参数 ] 下 载 地 址 ”。 


参数 作用 

下 全 下 载 模式 。 

-O TS EE ER 

-t 最 大 尝试 次 数 。 

-c 断 点 续 传 

p 下 载 页 面 内 所 有 资源 ,包括 图 片 、 视 频 等 。 
T 递归 下 载 


首先 需要 配置 您 的 Linux 系统 能 够 正常 登入 互联 网 ， 然 后 使 用 wget 命令 下 载 由 《Linux 就 该 这 么 学 》 提 供 的 红 幅 
RHEL7 系统 镜像 : 

[root@linuxprobe ~|# wget http://www.linuxprobe.com/ Tools/RHEL-server-7.0-x86_64-LinuxProbe.Com.iso 
--2015-09-01 18:25:24-- http://www.linuxprobe.com/ Tools/RHEL-server-7.0-x86_64-LinuxProbe.Com.iso 
Resolving www.linuxprobe.com... 106.185.25.197 

Connecting to www.linuxprobe.com| 106.185.25.197 |:80... connected. 

saving to: RHEL-server-7.0-x86, 64-LinuxProbe.Com.iso' 

100%|[====================================&gt;| 3,2743,416,320 1.82M/5s in 32m 27s 

2015-09-01 18:57:51 (1.83 MB/s) - RHEL-server-7.0-x86. 64- 

LinuxProbe.Com.iso' saved [3743416320/3743416320] 


| 


么 学 》 HTTP://www.linuxprobe.com 
TH 


A" wwwJlinuxprobe.com "RJ B3: 
[root&linuxprobe ~|# wget -r -p http://www.linuxprobe.com 


2015-09-01 18:31:41-- http;//www.linuxprobe.com/ 

Resolving www.linuxprobe.com... 106.185.25.197 

Connecting to www.linuxprobe.com| 106.185.25.197 |:80... connected. 
HTTP request sent, awaiting response... 200 OK 

Length: unspecified [text/html] 


saving to: www linuxprobe.com/index.html 


elinks 用 于 实现 一 个 纯 文 本 界面 的 浏览 器 ， 格 式 为 : “elinks [2x] 网 址 ”。 
安装 elinks 2& XA] Yo 8 : 

[root&linuxprobe ~|# yum install elinks 

使 用 elinks 访问 《Linux 就 该 这 么 学 》: 


[root@linuxprobe ~|# elinks www.linuxprobe.com 


/root/www.linuxprobe.com/ 





2.4 系统 状态 检测 命令 

合格 的 运 维 人 员 必 需 具 备 快速 查看 系统 状态 的 能 力 ， 所 以 这 些 命 令 真 的 很 常用 呢 ! 
ifconfig 用 于 获取 网 卡 配置 与 网 络 状态 等 信息 :格式 为 ”ifconfig [网 络 设备 ] [参数 ]”。 
查看 本 机 当前 的 网 卡 配 置 与 网 络 状态 等 信息 : 

[root@linuxprobe ~|# ifconfig 

eno16777728: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 
inet 192.168.10.10 netmask 255.255.255.0 broadcast 192.168.10.255 

inet6 fe80:20c:29ff:fe9c:6373 prefixlen 64 scopeid Ox20«link- 

ether 00:0c:29:9c:63:73 txqueuelen 1000 (Ethernet) 

RX packets 61 bytes 6612 (6.4 KiB) 

RX errors O dropped O overruns 0 frame 0 

TX packets 32 bytes 4511 (4.4 KiB) 


TX errors 0 dropped O overruns O carrier O collisions 0 


lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536 
inet 127.0.0.1 netmask 255.0.0.0 

inet6 :1 prefixlen 128 scopeid Ox10«host- 

loop txqueuelen O (Local Loopback) 

RX packets 2 bytes 140 (140.0 B) 

RX errors O dropped O overruns 0 frame 0 

TX packets 2 bytes 140 (140.0 B) 


TX errors 0 dropped O overruns O carrier O collisions 0 
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页 面 与 所 有 资料 ， 下 载 完成 后 会 在 当前 目录 中 保存 成 名 
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uname 命令 用 于 查看 系统 内 核 版 本 等 信息 ， 格 式 为 : “uname [al”。 
查看 系统 的 内 核 名 称 、 内 核发 行 版 、 内 核 版 本 、 节 点 名 、 硬 件 名 称 、 硬 件 平 台 、 处 理 器 类 型 、 操 作 系统 等 信息 : 
[rootelinuxprobe ~|# uname -a 
Linux linuxprobe.com 3.10.0-123.el7.x86_64 #1 SMP Mon May 5 11:16:57 EDT 2014 x86_64 x86 64 x86_64 
GNU/Linux 
顺便 说 下 ， 如 果 您 想 查看 系统 详细 版 本 信息 就 看 redhat-release 文件 : 
[rootelinuxprobe ~|# cat /etc/redhat-release 
Red Hat Enterprise Linux Server release 7.0 (Maipo) 
uptime 命令 用 于 查看 系统 的 负载 情况 ， 格 式 为 : “uptime” - 
我 也 经 常用 ”watch -n 1 uptime“ 来 每 秒 刷新 一 次 获得 当前 的 系统 负载 情况 ， 输 出 内 容 分 别 为 系统 当前 时 间 、 系 统 
已 运行 时 间 、 当 前 在 线 用 户 以 及 平均 负载 值 。 而 平均 负载 分 为 最 近 1 分 钟 、5 分 钟 、15 分 钟 的 系统 负载 情况 ， 负 载 
值 越 低 越 好 (小 于 1 是 正常 )。 
获取 当前 系统 状态 信息 : 
[rootelinuxprobe ~|# uptime 
22:49:55 up 10 min, 2 users, load average: 0.01, 0.19, 0.18 
free 命令 用 于 显示 当前 系统 中 内 存 的 使 用 量 情况 ， 格 式 为 : “free [-m/-gl" . 
以 mm 为 单位 显示 当前 系统 中 内 存 的 使 用 量 情况 : 


[rootelinuxprobe ~|# free -m 


总 计 内 存量 CHE YAE 。 进程 共享 的 内 存量 磁盘 缓存 的 内 存量 


total Used free shared buffers 
Mem: 1483 885 598 3 0 
-/ * buffers/cache: 628 855 
Swap: 2047 O 2047 


who 命令 用 于 查看 当前 登入 主机 的 用 户 情况 ， 格 式 为 : ”who [参数 ]”。 
查看 当前 登入 主机 用 户 的 情况 : 


[root@linuxprobe ~|# who 


登陆 的 用 户 名 终端 设备 登陆 到 系统 的 时 间 
root :0 2015-08-24 17:52 (:0) 
root pts/O 201S OS 2a Um HOD 
last 命令 用 于 查看 所 有 系统 的 登入 记录 ， 格 式 为 : C last [参数 ]”。 
查看 系统 的 登入 记录 : 


[root@linuxprobe ~|# last 

root pts/0 :0 Mon Aug 24 17:52 still logged in 

root :0 :0 Mon Aug 24 17:52 still logged in 

(unknown :0 :0 Mon Aug 24 17:50 - 17:52 (00:02) 

reboot system boot 3.10.0-123.el7.x Tue Aug 25 01:49 - 18:17 (-7:-32) 
root pts/O :0 Mon Aug 24 15:40 - 08:54 (7+17:14) 

root pts/O :0 Fri Jul 10 10:49 - 15:37 (45+04:47) 


缓存 的 内 存量 


cached 


200 
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history 命令 用 于 显示 历史 执行 过 的 命令 ， 格 式 为 : "history [cl]”。 
查看 当前 用 户 在 系统 中 执行 过 的 命令 : 
[root&linuxprobe ~|# history 
1 tar xzvf VMwareTools-9.9.0-2304977 tar.gz 
2 cd vmware-tools-distrib/ 
3 Is 
4 /vmware-install.pl -d 
5 reboot 
6 df-h 
7 cd /run/media/ 
8 ls 
9 cd root/ 
10 Is 
11 cd VMware\ Tools/ 
12 ls 
13 cp VMwareTools-9.9.0-230497 7 tar.gz /home 
14 cd /home 
15 Is 
16 tar xzvf VMwareTools-9.9.0-2304977 tar.gz 
1 7 cd vmware-tools-distrib/ 
18 ls 
19 /vmware-install.pl -d 
20 reboot 
2] history 
历史 命令 会 被 保存 到 用 户 家 目录 中 的 ”.bash_history “XP. Linux 系统 中 以 点 () 开 头 的 文件 均 代表 隐藏 文件 ， 一 
版 会 是 系统 文件 。 
[root@linuxprobe ~|# cat ~/.bash_history 
清空 该 用 户 在 本 机 中 执行 过 命令 的 历史 记录 : 
[root@linuxprobe ~|# history -c 
history 默认 会 保存 1000 条 执行 过 的 命令 ， 若 要 修改 可 直接 编辑 /etc/profile 文件 的 HISTSIZE 值 。 
sosreport 命令 用 于 收集 系统 系统 配置 并 诊断 信息 后 输出 结论 文档 ， 格 式 为 : “sosreport”。 
当 我 们 的 红 幅 系统 出 现 故障 需要 联系 红 帽 厂 商 或 其 他 扩 术 支持 时 ， 大 多 数 情 况 都 需要 提供 使 用 到 这 个 命令 。 
收集 系统 本 地 配置 信息 并 诊断 : 


[root@linuxprobe ~|# sosreport 


2.5 工作 目录 切换 命令 
虽然 后 面 的 章节 才 会 学 习 到 linu 的 存储 结构 与 “目录 ”这 个 概念 ， 但 没有 关系 ， 现 在 您 也 能 看 懂 下 面 的 操作 。 
pwd 命令 用 于 显示 当前 的 工作 目录 ， 格 式 为 : “pwd [选项 ]”。 


参数 作用 
-P 显示 真实 路 径 。( 即 非 快捷 链接 的 地 址 ) 
查看 当前 的 工作 路 径 : 


[root@linuxprobe etc|£ pwd 
/etc 
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cd 命令 用 于 切换 工作 路 径 ， 格 式 为 : “cd [目录 名 称 ]”。 
参数 作用 


切换 到 上 一 次 的 目录 ， 如 “cd 一 
切换 到 “家 目录 ”， 如 "cd ~" 
-username 切换 到 其 他 用 户 的 家 目录 ， 如 "cd -teak" 


切换 到 上 级 目录 ， 邵 "cd .," 


切换 进 /etc ERF: 

[root@linuxprobe ~|# cd /etc 
切换 进 /bin 目录 中 : 

[root@linuxprobe etc|# cd /bin 

XR EI EAE Bo ete Bo): 
[root&linuxprobe bin|# cd - 

/etc 

返回 用 户 自己 的 家 目录 : 
[root@linuxprobe etc|# cd ~ 
[root@linuxprobe ~|# 

ls 命令 用 于 查看 目录 中 有 那些 文件 ， 格 式 为 : “ls [选项 ] [文件 | ”。 
查看 当前 目录 下 有 那些 文件 (长 格式 ): 


[root@linuxprobe etc] ls -al 


参数 作用 

-a 查看 全 部 文件 (包括 隐藏 文件 ) 
-d 仅 看 目录 本 身 

易 读 的 文件 容量 〈 如 k,m,g) 

J 显示 文件 的 详细 信息 


查看 /etc 目录 中 有 那些 文件 : 
[root@linuxprobe ~|# ls /etc 
abrt gss printcap 

adjtime gssproxy profile 
aliases gtk-2.0 profile.d 
aliases.db gtk-3.0 protocols 
alsa hba.conf pulse 
alternatives host.conf purple 
anacrontab hostname qemu-ga 
asound.conf hosts qemu-kvm 


at.deny hosts.allow radvd.conf 
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查看 /etc 目录 的 权限 与 属性 : 
[rootelinuxprobe ~|# ls -ld /etc 
drwxr-xr-x. 132 root root 8192 Jul 10 10:48 /etc 
追加 -h 参数 ， 以 K/M/G 为 单位 显示 容量 : 
[rootelinuxprobe ~|# Is -Idh /etc 
drwxr-xr-x. 132 root root 8.0K Jul 10 10:48 /etc 


2.6 文本 文件 编辑 命令 
既然 已 经 学 会 了 工作 目录 间 的 切换 与 查看 ， 那 么 就 来 试 试 对 文件 的 一 系列 操作 吧 ， 非 常 实 用 。 
cat 命令 用 于 查看 纯 文 本 文件 RAN), KWAA “cat [选项 ] [文件 ]”。 


查看 文本 文件 : 
[root@linuxprobe ~]# cat 文件 名 

参数 作用 

n 显示 行 号 

b 显示 行 号 (不 包括 空 行 ) 

-A 显示 出 “不 可 见 ” 的 符号 ， 如 空格 ，tab 键 等 等 
more 命令 用 于 查看 纯 文 本 文件 〈 较 长 的 )， 格 式 为 : "more [选项 | 文件 ”。 
查看 文本 文件 : 
[root@linuxprobe ~]# more 文件 名 

参数 作用 

-数字 预先 显示 的 行 数 (默认 为 一 页 ) 

-d 显示 提示 语句 与 报错 信息 
head 命令 用 于 查看 纯 文本 文档 的 前 N íT, 格式 为 : “head [选项 ] [文件 ]”。 
查看 文本 文件 前 20 行 : 
[root@linuxprobe ~]# head -n 20 文件 名 

参数 作用 

-n 10 显示 10 行 

aio 正常 输出 〈 如 cat 命令 )， 但 不 显示 最 后 的 1047 
tail 命令 用 于 查看 纯 文 本 文档 的 后 N 行 ， 格 式 为 : "tail [选项 ] [文件 ]”。 
查看 文本 文件 后 20 行 : 
[root@linuxprobe ~]# tail -n 20 文件 名 

参数 作用 

-n 10 显示 后 面 的 10 行 


-f 持续 刷新 显示 的 内 容 
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od 命令 用 于 对 查看 特殊 格式 的 文件 ， 格 式 为 : “od [选项 ] [文件 ]”。 


参数 作用 

ta 默认 字符 
ASCII 字符 
to 八进制 

-t d 十 进 制 
xx TARH 
E 浮 反 数 


tr 命令 用 于 转换 文本 文件 中 的 字符 ， 格 式 为 :“tr [原始 字符 ] [目标 字符 ]”。 

读者 如 果 想 转换 实例 中 的 文件 ， 可 下 载 文件 tritxt。 

将 tr.txt 文件 的 内 容 转换 成 大 写 (注意 到 命令 中 间 的 | 了 吗 ? 这 个 叫 管道 命令 符 ， 后 面 小 节 会 学 习 到 的 ) 
[root@linuxprobe ~]# cat tr.txt | tr [a-z] [A-Z] 

WELCOME TO LINUXPROBE.COM 

RED HAT CERTIFIED 


FREE LINUX LESSONS 

PROFESSIONAL GUIDANCE 

LINUX COURSE 

wc 命令 用 于 统计 指定 文本 的 行 数 、 字 数 、 字 节 数 ， 格 式 为 “wc [参数 ] 文本 ”。 
参数 作用 

] 只 显示 行 数 

W 只 显示 单词 数 

-C 只 显示 字 节 数 


统计 当前 系统 中 的 用 户 个 数 : 


[root@linuxprobe ~|# wc -1 /etc/passwd 


38 /etc/passwd 

cut 命令 用 于 通过 列 来 提取 文本 字符 ， 格 式 为 : "cut [参数 ] 文本 ”。 
参数 作用 

d 分 隔 符 指定 分 隔 符 ， 默 认为 Tab。 
f 指定 显示 的 列 数 。 


c 单位 改 为 字符 
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获取 当前 系统 中 所 有 用 户 的 名 称 : 
参数 作用 : -d 以 ”:” 来 做 分 隔 符 ， 卫 参数 代表 只 看 第 一 列 的 内 容 。 
[root@linuxprobe ~|# cut -d: -f1 /etc/passwd 
获取 root 用 户 的 默认 SHELL fft : 
[rootelinuxprobe ~]# grep ^root /etc/passwd | cut -d: -f 7 
/bin/bash 
diff 命令 用 于 比较 多 个 文本 文件 的 差异 ， 格 式 为 : ”diff [参数 ] 文件 ”。 
读者 如 果 想 比较 实例 中 的 文件 ， 可 点 此 下 载 文 件 diff_A.txt 5 diff Btxt. 


参数 命令 
-b 忽略 空格 引起 的 差异 。 
-B 忽略 空 行 引起 的 差异 。 
—brief 或 -q 仅 报 告 是 否 存在 差异 。 
46 使 用 上 下 文 输出 格式 。 

比较 两 个 文件 的 差异 : 

[rootelinuxprobe ~|# diff diff __A.txt diff B.txt 

lc1,2 


> Welcome to linuxprobe.com 


> Welcome tooo linuxprobe.com 
> 
3c4,5 


» Free Linux Lessons 


> Free Linux LeSSon5 

SEDE SL ET LAE 

仅 显示 比较 后 的 结果 ， 即 相同 或 不 相同 : 
[root@linuxprobe ~|# diff --brief diff A.txt diff B.txt 
Files diff A.txt and diff B.txt differ 

使 用 上 下 文 输出 的 格式 : 

[root@linuxprobe ~|# diff -c diff A.txt diff_B.txt 

*** diff Atxt 2015-08-30 18:07:45.230864626 +0800 
--- diff B.txt 2015-08-30 18:08:52.203860389 +0800 


skckkekek kk k k k kkk K 


xk ] 5 沙沙 沙沙 
》 


! Welcome to linuxprobe.com 
Red Hat certified 

! Free Linux Lessons 
Professional guidance 

Linux Course 

Reds neue 
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! Welcome tooo linuxprobe.com 
! 
Red Hat certified 
| Free Linux LeSSonS 
ALLL DEE Lasd LALE 
Professional guidance 


Linux Course 


2.7 文件 目录 管理 命令 
touch 命令 用 于 创建 空白 文件 与 修改 文件 时 间 ， 格 式 为 : "touch [选项 ] [文件 ]”。 
我 们 可 以 用 “touch test” 轻 松 的 创建 出 一 个 名 字 为 test 的 空白 文档 ， 所 以 这 个 功能 无 须 介 绍 。 
对 于 在 Linux 中 的 文件 有 三 种 时 间 : 
更 改 时 间 (mtime): 内 容 修改 时 间 (不 包括 权限 的 ) 
更 改 权限 (ctime): 更 改 权限 与 属性 的 时 间 
读 取 时 间 (atime): 读 取 文 件 内 容 的 时 间 
邵 果 黑 客 执 行 了 touch -d “2 days ago” test， 便 将 访问 与 修改 时 间 修 改 为 了 2 天 前 (伪造 了 自己 没有 动 过 该 文件 的 假象 )。 


参数 作用 


E 近 修 改 “ 访 问 时 间 ” (atime) 
-m 近 修 改 “ 更 改 时 间 ” (mtime) 
-d 同时 修改 atime 5 mtime 
要 修改 成 的 时 间 [YYMMDDhhmml 
mkdir 用 于 创建 空白 的 文件 夹 ， 格 式 为 : "mkdir [选项 ] 目录 ”。 
创建 文件 夹 : 
[root@linuxprobe ~]# mkdir 文件 夹 名 
参数 TE f 
-m-MODE 默认 的 文件 目录 权限 ， 邵 "-m 755" 
连续 创建 多 层 目录 ( 若 文 件 夹 已 存在 则 忽略 ) 
-V 显示 创建 的 过 程 


创建 一 个 名 字 叫 linuxprobe 的 目录 : 

[root@linuxprobe ~|# mkdir linuxprobe 

使 用 1s 命令 查看 该 目录 的 权限 属性 等 信息 : 

[root@linuxprobe ~|# ls -ld linuxprobe/ 

drwxr-xr-x. 2 root root 6 Aug 24 19:25 linuxprobe/ 

还 记得 刚刚 用 cd 命令 进入 linuxprobe 目录 吗 ? 这 里 是 个 小 技巧 ， 变 量 !$ 或 (键盘 按键 ) 代 表 上 一 条 命令 的 参数 。 
[root@linuxprobe ~]# cd !$ 


NS 
BE 


cd linuxprobe 
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pwd 命令 也 是 刚刚 学 习 过 的 ， 用 于 显示 当前 的 工作 路 径 。 
[rootelinuxprobe linuxprobe]# pwd 
/root/Desktop/linuxprobe 
一 次 创建 5 个 目录 a/b/c/d/e: 
[root@linuxprobe linuxprobe]# mkdir -p a/b/c/d/e 
查看 目录 的 属性 ， 验 证 是 否 成 功 : 
[root@linuxprobe linuxprobel|# ls -ld a/b/c/d/e/ 
drwxr-xr-x. 2 root root 6 Aug 29 10:16 a/b/c/d/e/ 
cp 命令 用 于 复制 文件 或 目录 ， 格 式 为 : “cp [选项 ] 源 文件 目标 文件 ”。 
复制 命令 的 三 种 情况 : 

目标 文件 是 一 个 目录 ， 会 将 源 文件 复制 到 该 目录 中 。 

目标 文件 是 一 个 文件 ， 会 将 源 文件 覆盖 该 文件 。 

目标 文件 不 存在 ， 将 会 复制 源 文件 并 修改 为 目标 文件 的 名 称 〈 重 命名 )。 


参数 作用 

-p 保留 原始 文件 的 属性 

-d 者 对 象 为 "链接 文件 "， 则 保留 该 "链接 文件 "的 属性 
T 递归 持续 复制 (用 于 目录 ) 

i T Bd EuUÓuze A 

2d 相当 于 -pdr (\p,dr 为 上 述 的 参数 ) 


创建 一 个 名 为 install.og 的 文件 : 

[root@linuxprobe ~|# touch install.log 

将 installlog 复制 为 x.log: 

[root&linuxprobe ~|# cp install.log x.log 

查看 到 确实 出 现 了 文件 xlog 

[root@linuxprobe ~|# ls 

install.log x.log 

mv 命令 用 于 移动 文件 或 改名 ， 格 式 为 : "mv [选项 ] 文件 名 [目标 路 径 | 目 标 文件 名 ]”。 
将 文件 aaa 重 命名 为 bbb: 

[root@linuxprobe ~|# mv aaa bbb 

rm 命令 用 于 删除 文件 或 目录 ， 格 式 为 : “rm [选项 ] 文件 ”。 
删除 普通 文件 并 提示 确认 信息 : rm 文件 名 ” 

删除 普通 文件 或 目录 文件 ， 不 提示 : “rm -rf 文件 或 目录 名 


参数 作用 
f 忽略 警告 信息 
sl 删除 前 先 询 问 


T 删除 文件 夹 
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查看 当前 目录 下 的 文件 : 
[rootelinuxprobe ~|# ls 
install.log x.log 
删除 installlog XIF, WA” y” BWANA: 
[root@linuxprobe ~|# rm install.log 
rm: remove regular empty file installlog ? y 
删除 xlog 文件 而 无 需 确 认 : 
[root@linuxprobe -]* rm -rf x.log 
Linux 系统 中 还 有 一 个 rmdir 命令 ， 它 不 同 于 rm -If 命令 会 删除 一 切 ， 而 是 仅 删除 空 目录 ,， 遇 到 目录 内 有 文件 时 则 报错 。 
dd 命令 用 于 指定 大 小 的 拷贝 的 文件 或 指定 转换 文件 ， 格 式 为 : “dd [参数 ]”。 





参数 作用 

if 输入 的 文件 名 称 。 

of 输出 的 文件 名 称 。 

bs 设置 每 个 “ 块 ” 的 大 小 。 
count 设置 要 拷贝 抉 的 个 数 。 
conv-ucase 将 字母 从 小 写 转换 为 大 写 。 
conv=lcase 把 字符 从 大 写 转 换 为 小 写 。 


将 光驱 设备 拷贝 成 镜像 文件 : 

[root@linuxprobe ~|# dd if=/dev/cdrom of=RHEL-server-7.0-x86_64-LinuxProbe.Com.iso 
7311360+0 records in 

1311360-0 records out 

3743416320 bytes (3.7 GB) copied, 370.758 s, 10.1 MB/s 

生成 一 个 560m 的 空白 文件 : 

[rootelinuxprobe ~|# dd if=/dev/zero of=560_file count=1 bs=560M 
1+0 records in 

1+0 records out 

587202560 bytes (587 MB) copied, 27.1755 s, 21.6 MB/s 

将 硬盘 的 MBR 信息 拷贝 出 来 : 

[root@linuxprobe ~|# dd ifz/dev/sda of=sda_image count=1 bs=512K 
1+0 records in 

1+0 records out 

524288 bytes (524 kB) copied, 0.0449481 s, 11.7 MB/s 
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2.8 用 户 与 组 管理 命令 
useradd 命令 用 于 创建 新 的 用 户 ， 格 式 为 : “useradd [选项 | MPR” o 


参数 作用 

-d 指定 用 户 的 家 目录 (默认 为 /home/username) 
E» 展示 默认 值 

-Ge 帐号 有 效 截 至 日 期 ， 格 式 : YYYY-MM-DD. 
-g Bx 一 个 初始 用 户 组 〈 必 须 已 存在 ) 

G 指定 一 外 或 多 个 必 RR P 

-N 不 创建 与 用 户 同名 的 用 户 组 

-S 指定 默认 的 Shell 

-u 指定 用 户 的 UID 


创建 名 为 linuxprobe 的 用 户 ， 并 定义 家 目录 路 径 、UID 以 及 登陆 解释 器 (不 允许 登陆 ): 
[root@linuxprobe ~|# useradd -d /home/linux -u 8888 -s /sbin/nologin linuxprobe 
查看 linuxprobe 用 户 的 基本 信息 : 

[root@linuxprobe ~|# id linuxprobe 

uid=8888(linuxprobe) gid=8888(linuxprobe) groups-8888 (linuxprobe) 

passwd 命令 用 于 修改 用 户 的 密码 ， 格 式 为 : “passwd [选项 ] [用 户 名 ]”。 

修改 当前 用 户 的 密码 :“passwd” 

修改 其 他 用 户 的 密码 :“passwd 其 他 用 户 名 ” 


参数 作用 
d 锁定 用 户 禁 止 其 登陆 
-u ERDE, MAA P E i 


--stdin 允许 从 标准 输入 修改 用 户 密 码 ， 如 (echo "NewPassWord" | passwd -stdin Username) 
-d 使 帐号 无 密码 
-e 强制 用 户 下 次 登陆 时 修改 密码 


E 显示 用 户 的 密码 状态 
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userdel 命令 用 于 期 除 用 户 所 有 表格 ， 格 式 为 : “userdel [选项 | 用 户 名 ”。 
删除 用 尸 与 其 家 目录 : 
[root@linuxprobe ~]# userdel -d 用 户 名 


参数 作用 

if 强制 删除 用 户 ， 家 目录 与 其 相关 文件 

T 同时 删除 用 户 ， 家 目录 与 其 相关 文件 

usermod 命令 用 于 修改 用 户 的 属性 ， 格 式 为 “usermod [选项 ] 用户 名 ”。 
参数 作用 

-C 填写 帐号 的 备注 信息 

-d -m m 与 -d 连用 ， 可 重新 指定 用 户 的 家 目录 并 自动 旧 的 数据 转移 过 去 。 
-€ 帐户 到 期 时 间 ， 格 式 “YYYY-MM-DD 

-g 变更 所 属 用 户 组 

G 变更 扩展 用 户 组 

下 锁定 用 户 禁止 其 登陆 系统 

-U 解锁 用 户 ， 允 许 其 登陆 系统 

-S 变更 默认 终端 

-u 修改 用 户 的 UID 


groupadd 命令 用 于 创建 群 组， 格式 为 : ”groupadd [选项 | 群 组 名 ”。 
创建 名 称 为 linuxprobe 的 用 户 群 组 : 
[root&linuxprobe ~|# groupadd linuxprobe 


2.9 打包 压缩 文件 命令 

tar 命令 用 于 对 文件 打包 压缩 或 解压 ， 格 式 为 : “tar [选项 ] [文件 ]”。 
打包 并 压缩 文件 :“tar -czvf 压缩 包 名 .tar.gz 文件 名 ” 
解压 并 展开 压缩 包 :“tar -xzvf 压缩 包 名 .tar.gz” 


参数 作用 

创建 压缩 文件 

x 解 开 压 缩 文件 

+ 查看 压缩 包 内 有 那些 文件 


z 用 Gzip 压缩 或 解压 
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-j 用 bzip2 压缩 或 解压 
显示 压缩 或 解压 的 过 程 
Ei 目标 文件 名 

-P 保留 原始 的 权限 与 属性 
-P 使 用 绝对 路 径 来 压缩 
-C 指定 解压 到 的 目录 


将 /etc 目录 内 文件 打包 并 通过 gzip 格式 压缩 : 
[root@linuxprobe ~|# tar czvf etc.tar.gz /etc 
tar: Removing leading '/ from member names 
/etc/ 

/etc/fstab 

/etc/crypttab 

/etc/mtab 

/etc/fonts/ 

/etc/fonts/conf.d/ 
/etc/fonts/conf.d/65-0-madan.conf 
/etc/fonts/conf.d/59-liberation-sans.conf 
/etc/fonts/conf.d/90-ttf-arphic-uming-embolden.conf 
/etc/fonts/conf.d/59-liberation-mono.conf 


/etc/fonts/conf.d/66-sil-nuosu.conf 


eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee eee ee e 


将 etc.tar.gz 解压 到 /root/etc 目录 中 : 
[root@linuxprobe ost ~|# mkdir /root/etc 

开始 解压 etc.tar.gz 文件 : 

[root&linuxprobe ~|# tar xzvf etc.tar.gz -C /root/etc 


2.10 文件 查询 搜索 命令 


HTTP://www.linuxprobe.com 


grep 命令 用 于 对 文本 进行 搜索 ， 格 式 为 : "grep [选项 ] [文件 ]”。 


搜索 某 个 关键 词 :“grep 关键 词 文本 文件 ” 


参数 作用 

-b 将 可 执行 文件 (binary) 当 作 文本 文件 
-C 仅 显 示 找 到 的 次 数 

i 忽略 大 小 写 

n 显示 行 号 


-V 反 向 选择 一 一 仅 列 出 没有 “关键 词 


(text) 来 搜索 


的 行 。 
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搜索 在 /etc/passwd 中 ”/sbin/nologin” 出 现 的 行 ， 找 出 系统 中 不 允许 登陆 的 用 户 。 
[root&linuxprobe ~|# grep /sbin/nologin /etc/passwd 
bin:x:1:1:binz/bin:/sbin/nologin 
daemon:x:2:2:daemon:/sbin:/sbin/nologin 
adm:x:3:4:adm:/var/adm:/sbin/nologin 
1px:4:7:Ip;/var/spool/Ipd:/sbin/nologin 
mail:x:8:1 2:mail:/var/spool/mail:/sbin/nologin 
operator:x:1 1:O:operatorz/root:/sbin/nologin 
找 出 文件 “/usr/share/gedit/plugins/snippets/docbook.xml” 中 所 有 包含 entry 的 行 并 输出 到 /root/lines: 
答案 模式 :grep entry /usr/share/gedit/plugins/snippets/docbook.xml >> /root/lines 
find 命令 用 于 查找 文件 ， 格 式 为 : “find [查找 路 径 ] 寻找 条 件 操作 ”。 
这 里 需要 注意 下 find 命令 非常 灵活 导致 参数 非常 复杂 ， 这 里 不 要 求 大 家 记 住 ， 用 时 来 查 即 可 。 


对 于 常用 搜索 路 径 有 几 个 小 穿 门 : “~” 代 表 用 户 的 家 目录 ，“.” 代 表 当 前 目录 ，“/” 代 表 根 目录 。 
参数 作用 

-name 匹配 名 称 

-perm 匹配 权限 (mode 为 完全 匹配 ，-mode 为 包含 即 可 ) 

-user 匹配 所 有 者 

-group 匹配 所 有 组 

-mtime -n +n 匹配 修改 内 容 的 时 间 (Cn 指 n 天 以 内 ，+n 指 n 天 以 前 ) 

-atime -n «n 匹配 访问 文件 的 时 间 -n d& n 天 以 内 ，+n 指 n 天 以 前 

-ctime -n +n 匹配 修改 权限 的 时 间 -n 指 n 天 以 内 ，+n 指 n 天 以 前 

-nouser 匹配 无 所 有 者 的 文件 

-nogroup 匹配 无 所 有 组 的 文件 

-newer f1 !f2 匹配 比 文件 f1 新 却 比 f2 旧 的 文件 

--type b/d/c/p/1/f 匹配 文件 类 型 〈 块 设备 、 目 录 、 字 符 设备 、 管 道 、 链 接 文件 、 文 件 文件 ) 
—size 匹配 文件 的 大 小 (+50k 查找 超过 50k 的 文件 ,而 -50k 则 代表 查找 小 于 50k 的 文件 ) 
-prune 忽略 某 个 目录 


—exec 1) V 后 面 可 接 对 搜索 到 结果 进一步 处 理 的 命令 下面 会 有 演示 ) 
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搜索 在 /etc/ 中 所 有 以 host 开头 的 文件 : 
其 中 的 ”host*” 表 示 所 有 以 host 开头 的 文件 : 
[root@linuxprobe ~|# find /etc -name "host*" -print 
/etc/avahi/hosts 
/etc/host.conf 
/etc/hosts 
/etc/hosts.allow 
/etc/hosts.deny 
/etc/selinux/targeted/modules/active/modules/hostname.pp 
/etc/hostname 
搜索 整个 系统 中 所 有 包含 SUID 的 文件 (A SUID 的 数字 表示 法 是 4， 而 减 号 表示 只 要 包含 即 可 )。 
[root@linuxprobe ~|# find / -perm -4000 -print 
/usr/bin/fusermount 
/usr/bin/su 
/usr/bin/umount 
/usr/bin/passwd 
/usr/sbin/userhelper 


/usr/sbin/usernetctl 


eeeeeeeeeeeeeeeeeeeeeeeeeeeeeee ee e 


找 出 用 户 linuxprobe 的 文件 并 复制 到 /root/findresults 目录 。 

重点 是 ”-exec 和 们 \;” 其 中 的 人 代表 find 命令 搜索 出 的 文件 ， 记 住 结尾 必 须 是 \ 

[root@linuxprobe ~|# find / -user linuxprobe -exec cp -arf {} /root/findresults/ \; 

读者 们 ， 辛 兰 了 ~ 你 们 有 没有 有 觉得 Linux 中 的 “命令 ” 真 的 很 方便 ? 下 章 中 将 会 正式 的 使 用 到 它们 ， 做 好 准备 吧 ! 另 
外 大 家 也 几乎 见 到 了 所 有 Linux 系统 中 日 常用 到 的 命令 ， 但 这 仅仅 是 打 好 基础 ， 为 了 今后 能 更 加 高 效 的 管理 主机 ， 请 
一 定 要 学 习 后 来 的 Shell 脚本 课程 。 


本 章 结束 ， 您 可 以 在 此 写 下 笔记 : 
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第 3 章 管道 符 、 重 定向 与 环境 变量 。 
章节 概述 : 
Don’ tbeso excited! 虽 然 此 刻 您 已 经 学 完了 上 百 个 常用 Linux 命 令 , 但 如 前 面 所 说 :“ 光 用 命令 本 身 并 不 能 做 好 工作 ”。 
下 个 章节 将 学 习 Shell 脚本 的 使 用 方法 ， 所 以 本 章节 要 有 些 承 上 局 下 的 作用 ， 理 论 知识 反 会 比较 多 ， 但 都 很 实用 。 
当 读 者 学 习 完 管道 命令 符 、 输 入 输出 重 定向 、 通 配 符 以 及 环境 变量 后 便 可 以 将 命令 组 合 的 更 加 恰当 、 高 效率 。 


3.1 管道 命令 符 

管道 命令 符 “| ”的 作用 是 将 前 一 个 命令 的 标准 输出 当 作 后 后 一 个 命令 的 标准 输入 ， 格 式 为 “命令 人 A| 今 令 B . 

例如 前 面 章节 学 习 的 grep 命令 (文本 搜索 命令 ), 通过 匹配 关键 词 ”/sbin/nologin“ 找 出 了 所 有 被 限制 登陆 系统 的 用 
户 ， 如 果 我 们 希望 统计 所 有 不 允许 登陆 系统 的 用 户 个 数 ， 该 怎么 做 那 ( 仅 可 用 一 条 命令 )? 

首先 理 清 思路 : 

找 出 被 限制 登陆 用 户 的 命令 是 :grep “/sbin/nologin” /etc/passwd 

统计 文本 行 数 的 命令 则 是 :wc -| 

现在 要 做 的 是 就 是 将 搜索 命令 的 输出 值 传递 给 统计 命令 ， 其 实 只 要 把 管道 符 夹 在 中 间 就 可 以 了 。 

[rootelinuxprobe ~]# grep "/sbin/nologin" /etc/passwd | wc -l 

99 

很 厉害 的 功能 吧 ! 我 们 将 原本 将 会 显示 到 屏幕 上 的 用 户 信 息 列表 交 给 ”WwWCc- “命令 做 了 进一步 的 加 工 , 简直 太 方便 了 1 
用 翻 页 的 形式 查看 /etc 目录 中 有 那些 文件 : 

[rootelinuxprobe ~]# ls -l /etc/ | more 

total 1400 


向 linuxprobe 用 户 发 送 一 封 邮件 : 

[rootelinuxprobe ~]# echo "Content" | mail -s "Subject" linuxprobe 
切换 至 linuxprobe 用 户 : 

[root@linuxprobe ~|# su - linuxprobex 

Last login: Fri Jul 10 09:44:07 CST 2015 on :0 

查看 邮件 箱 ， 果 然 有 一 封 邮件 哦 : 

[linuxprobeelinuxprobe -]$ mail 

Heirloom Mail version 12.5 7/5/10. Type ? for help. 

"/ var/spool/mail/linuxprobe": 1 message 1 new 

>N 1 root Sun Aug 30 17:33 18/578 "Subject" 

使 用 非 交 互 式 设 置 用 户 密码 ， 将 root 的 密码 修改 为 linuxprobe. 
[root@linuxprobe ~]# echo "linuxprobe" | passwd -stdin root 
Changing password for user root. 

passwd: all authentication tokens updated successfully. 

当然 读者 们 可 不 要 误解 管道 命令 符 只 能 用 一 次 哦 ， 完 全 可 以 这 样 用 : 
3.2 输入 输出 重 定向 

在 学 习 标 准 输入 输出 重 定 向 前 ， 我 们 先 看 一 个 简单 的 演示 吧 : 

查看 linuxprobe 目录 的 信息 : 

[root@linuxprobe ~|# Is linuxprobe/ 

查看 XXXXXX 目录 的 信息 : 


[root@linuxprobe ~|# ls xxxxxx/ 


3 
d 
: 
3 
d 
UJ 
3 
d 
à 


Is: cannot access xxxxxx: No such file or directory 


刚刚 我 们 先 查 看 了 一 个 名 为 linuxprobe 目录 内 的 文件 , 后 又 尝试 查看 名 为 ”xxxxxx” 目 录 内 的 文件 , 显示 该 目录 并 不 存在 。 
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虽然 好 像 命 令 都 执行 成 功 了 ， 但 其 实 有 所 差异 ， 前 者 执行 后 返回 的 是 标准 输出 ， 而 后 者 执行 失败 返回 的 是 错误 输出 。 
标准 输入 (STDIN， 文 件 描述 符 为 0): 默认 从 键盘 输入 ， 为 0 时 表示 是 从 其 他 文件 或 命令 的 输出 。 
标准 输出 (STDOUT， 文 件 描述 符 为 1): 默认 输出 到 屏幕 ， 为 1 时 表示 是 文件 。 
错误 输出 (STDERR， 文 件 描述 符 为 2): 默认 输出 到 屏幕 ， 为 2 时 表示 是 文件 。 


对 于 输出 重 定 向 符 有 这 些 情况 : 

符号 作用 

"Sq oT 将 标准 输出 重 定向 到 一 个 文件 中 (清空 原 有 文件 的 数据 ) 

$4 2» x1t 将 错误 输出 重 定向 到 一 个 文件 中 (清空 原 有 文件 的 数据 ) 

d » X1 将 标准 输出 重 定向 到 一 个 文件 中 (追加 到 原 有 内 容 的 后 面 ) 
命令 2>> 文件 将 错误 准 输出 重 定向 到 一 个 文件 中 (追加 到 原 有 内 容 的 后 面 ) 
| 将 标准 输出 与 错误 输出 共同 写 入 到 文件 中 (追加 到 原 有 内 容 的 后 面 ) 
对 于 输入 重 定向 有 这 些 情 况 : 

EA 作用 

$4 «x1 将 文件 作为 命令 的 标准 输入 

WA cc ARS 从 标准 输入 中 读 入 ， 直 到 遇见 “分 界 符 ” 才 停止 
me LR 将 文件 1 作为 命令 的 标准 输入 并 将 标准 输出 到 文件 2 


那么 来 做 几 个 输出 和 输入 重 定向 的 实验 吧 : 

将 man 命令 的 帮助 文档 写 入 到 /root/man.txt 中 : 

[root@linuxprobe ~|# man bash > /root/man.txt 

向 readme.txt 文件 中 写 入 一 行文 字 : 

[rootelinuxprobe ~|# echo "Welcome to LinuxProbe.Com > readme.txt 

向 readme.txt 中 追加 一 行文 字 : 

[root@linuxprobe ~|# echo "Quality linux learning materials" >> readme.txt 

查看 readme.txt 中 的 内 容 : 

[root@linuxprobe ~|# cat readme.txt 

Welcome to LinuxProbe.Com 

Quality linux learning materials 

把 readme.txt 文件 作为 输入 重 定向 给 Wc -| 命令 来 计算 行 数 ， 命 令 等 同 于 “cat readme.txt | wc -1”。 
[root@linuxprobe ~|# wc -l < readme.txt 

2 

用 echo, mail 和 管道 符 命令 (|) 发 给 linuxprobe 用 户 一 封 邮件 ， 但 内 容 只 能 有 一 名 话 。 


[rootelinuxprobe ~]# echo "Content" | mail -s "Subject" linuxprobe 
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如 果 您 想像 写 信 一 样 发 邮件 ， 就 用 输入 重 定向 试 试 吧 ， 向 指定 邮箱 发 送 一 封 邮 件 ， 标 题 为 Readme， 内 容 逐 行 输入 。 
其 中 的 over 被 称 为 分 市 符 ， 是 用 户 自 定义 的 ， 当 系统 过 到 这 个 分 界 符 时 会 认为 输入 结束 。 
[root@linuxprobe ~|# mail -s "Readme" root@linuxprobe.com << over 
> think linux is very practical 
» | hope to learn more 
» can you teach me ? 
> over 
正常 情况 下 输入 分 界 符 后 会 结束 输入 操作 并 发 送 邮 件 ， 不 会 有 报错 信息 。 
[rootelinuxprobe ~|# 
这 次 咱们 还 是 用 ”ls” 命 令 查 看 文件 信息 ， 若 文件 不 存在 则 将 报错 信息 输出 到 /root/stderr.txt 中 : 
[root@linuxprobe ~|# Is linuxprobe 2» /root/stderr.txt 
-rWw-r-r--. 1 root root O Mar 1 13:30 linuxprobe 
文件 为 空 ， 代 表 上 面 命令 并 没有 报错 : 
[rootelinuxprobe ~|# cat /root/stderr.txt 
将 查看 XXXXXX 目录 命令 的 错误 信息 输出 到 /root/stderr.txt X fF : 
[root@linuxprobe ~|# ls xxxxxx 2» /root/stderr.txt 
查看 到 stderr.txt 文件 中 保存 的 ls 命令 报错 信息 : 
[root@linuxprobe ~|# cat /root/stderr.txt 
Is: cannot access xxxxxx: No such file or directory 
因为 ”linuxprobe ”的 文件 确实 存在 ， 所 有 没有 报错 信息 ， 但 ”XXXXXX ”文件 是 不 存在 的 ， 所 以 则 将 报错 信息 输出 到 
了 指定 的 文件 。 


3.3 命令 行 通配符 

例如 我 们 想 对 一 类 文件 批量 操作 ， 例 如 批量 查看 硬盘 文件 属性 ， 那 么 正常 命令 会 是 : 
[root@linuxprobe ~|# ls /dev/sda 

[rootelinuxprobe ~|# Is /dev/sdal 

[rootelinuxprobe ~|# ls /dev/sda2 

[root&linuxprobe ~|# ls /dev/sda3 


但 有 些 时 候 确 实 不 知道 分 区 的 个 数 或 分 区 号 ,这 时 候 就 要 用 到 通配符 来 搞定 了 ,Bash 解释 器 的 支持 多 种 文本 通配符 包括 : 


通配符 含义 

匹配 零 个 或 多 个 字符 。 
? 匹配 任意 单个 字符 。 
[0-9] 匹配 范围 内 的 数字 。 
[abc] 匹配 已 出 的 任意 字符 。 


查看 sda 开头 的 所 有 设备 文件 : 
[root&linuxprobe ~|# ls /dev/sda* 

/ dev/sda /dev/sdal /dev/sda2 

查看 sda 后 面 有 一 个 字符 的 设备 文件 : 
[root&linuxprobe ~|# Is /dev/sda? 
/dev/sdal /dev/sda2 
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查看 sda 后 面包 含 0-9 数字 的 设备 文件 : 
[root@linuxprobe ~|# ls /dev/sda[0-9| 
/dev/sdal /dev/sda2 

查看 sda 后 面 是 1 或 3 或 5 的 设备 文件 : 
[root@linuxprobe ~|# ls /dev/sda[135] 
/dev/sdal 


A ft bash 解释 器 还 支持 很 多 的 特殊 字符 扩展 : 


字符 

\(E RHI) 
“( 单 引号 ) 
"(C 9| 57) 


MUSS 


定义 名 称 为 PRICE 的 变量 值 为 5: 
[root@linuxprobe ~|# PRICE=5 

想 要 输出 ”价格 是 5 : 

[root@linuxprobe ~]# echo "Price is $PRICE" 


Price is 5 


想 要 输出 ”价格 是 $5 ” ， 但 因为 美元 符号 与 代表 变量 取 值 的 $ 符 号 冲突 了 ， 所 以 报错 了 : 
[root@linuxprobe ~]# echo "Price is $$PRICE" 


Price is 3767PRICE 
添加 一 个 反 斜 枉 ， 将 第 一 个 $ 符 号 转 义 : 


[root@linuxprobe ~]# echo "Price is \$$PRICE" 


Price is $5 
使 用 单 引 号 ， 变 量 将 不 再 被 取 值 : 


[root@linuxprobe ~]# echo "Price is \$$PRICE 


Price is \$$PRICE 


执行 uname -a 后 可 以 查看 到 本 机 内 核 的 版 本 与 架构 信息 〈 反 引号 里 面 的 命令 会 被 执行 ) : 


[root@linuxprobe ~|# echo ‘uname -a' 
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作用 


转 义 后 面 单个 字符 


转 义 所 有 的 


ey Ahe 


字符 


变量 依然 生效 


执 


命令 语 
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Linux linuxprobe.com 3.10.0-123.el7.x86_64 #1 SMP Mon May 5 11:16:57 EDT 2014 x86. 64 x86. 64 x86 64 


GNU/Linux 


3.4 实用 的 PATH 变量 


alias 命令 用 于 设置 命令 的 别名 ， 格 式 为 : "alas 别名 = 命令 ”。 


例如 担心 复制 文件 时 误 将 文件 覆盖 ， 那 么 执行 alias cp=”cp -” 则 每 次 覆盖 都 会 询问 用 户 。 


“unalias 别名 ”。 


unalias 命令 用 于 取消 命令 的 别名 ， 格 式 为 : 
设置 cp 命令 的 别名 : 

[rootelinuxprobe ~|# alias cp= cp 证 

取消 cp 命令 的 别名 : 


[root@linuxprobe ~|# unalias cp 
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如 同 前 面 所 讲 的 一 一 在 Linux 中 所 有 的 一 切 都 是 文件 ， 命 令 文件 也 不 例外 。 那 当 用 户 执行 了 一 条 ”ls“ 命 令 后 发 生 
了 什么 事情 ? 

步骤 一 :如 果 是 以 绝对 /相对 路 径 输入 的 命令 则 直接 执行 〈 如 执行 /bin/ls)。 

步骤 二 :检查 是 否 为 alias 别名 命令 。 

步骤 三 :由 bash 判断 其 是 “内 部 命令 ”还 是 “外 部 命令 ”。 

内 部 命令 : 属于 解释 器 内 部 的 

外 部 命令 : Paan. 的 命令 文件 

步骤 四 : 通过 $PATH 变量 中 定义 的 路 径 进 行 命令 查找 。 
查看 $PATH rie $PATH 
/usr/local/ bin:/usr/local/sbin:/usr/bin:/usr/sbin:/bin:/sbin 
如 果 您 想 知道 某 个 命令 是 “内 部 命令 ”还 是 “外 部 命令 ”? 执行 执行 “type 命令 名 字 ”， 解 释 改 就 会 告诉 你 哆 ~ 
$PATH 变量 是 “解释 春 的 助手 ”， 它 负责 告诉 bash 用 户 要 执行 的 命令 可 能 存放 在 那里 然后 bash mA T T EN dE 3x 
些 目录 里 寻找 。 
在 变量 $PATH 中 目录 之 间 用 冒号 “:” 间 隔 开 了 ， 当 然 您 也 能 自 定 义 一 些 命令 存放 目录 ， 比 如 /root/bin。 
查看 当前 的 $PATH 变量 内 容 : 
[root@linuxprobe ~]# echo $PATH 
/usr/local/bin:/usr/local/sbin:/usr/bin:/usr/sbin:/bin:/sbin 
为 变量 增加 新 的 值 : 
[root@linuxprobe -]* PATH=$PATH:/root/ bin 
查看 此 时 的 $PATH A NAA: 
[root@linuxprobe ~]# echo $PATH 
/usr/local/ bin:/usr/local/sbin:/usr/bin:/usr/sbin:/bin:/sbin:/root/bin 
谨慎 而 有 经 验 的 运 维 人 员 在 接手 一 台 Linux 系统 后 一 定 会 在 执行 命令 前 查看 下 $PATH 变量 中 是 否 有 可 疑 的 目录 。 
3.5 重要 的 环境 变量 
上 面 学 到 的 $PATH 是 不 是 很 实用 ? 在 Linux 系统 中 还 有 许多 重要 的 环境 变量 ， 我 们 可 以 用 env 命 令 查 看 到 它们 。 
变量 是 由 固定 的 “变量 名 ”与 用 户 或 系统 设置 的 “变量 值 ” 两 部 分 组 成 的 ， 如 果 有 需求 可 直接 修改 ~ 





变量 名 称 作用 

HOME 用 户 的 主 目录 “家 ”。 
SHELL 当前 的 shell 是 哪个 程序 
HISTSIZE 历史 命令 记录 条 数 
MAIL 邮件 信箱 文件 

LANG 语系 数据 

RANDOM 随机 数字 

PS1 bash 提示 符 
HISTFILESIZE history 命令 存储 数量 


PATH 在 路 径 中 的 目录 查找 执行 文件 
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EDITOR 默认 文本 编辑 器 


HOME 用 户主 目录 


让 我 们 通过 变量 来 查看 下 当前 用 户 的 家 目录 是 那个 吧 。 

因为 当前 是 以 root 用 尸 登陆 ， 所 以 显示 为 /root: 

[rootelinuxprobe ~|# echo $HOME 

/root 

切换 到 linuxprobe 用 户 : 

[root@linuxprobe ~|# su - linuxprobe 

Last login: Fri Feb 27 19:49:57 CST 2015 on pts/O 

切换 为 linuxprobe 用 户 后 ， 同 样 的 ”$HOME” 变 量 却 显示 出 了 不 同 的 值 : 
[linuxprobe@linuxprobe -]$ echo $HOME 

/home/linuxprobe 

假设 需要 设置 一 个 变量 ”WORKDIR“， 让 每 个 用 户 执行 ”cd$WORKDIR“ 都 登陆 到 /home/workdir 目录 中 ， 该 如 
何 做 那 ? 

定义 方法 : 变量 名 称 = 新 的 值 

查看 方法 : echo $ 变 量 名 称 

创建 该 目录 : 

[root@linuxprobe ~|# mkdir /home/workdir 

如 前 面 所 介绍 的 方法 设置 变量 : 

[rootelinuxprobe ~|# WORKDIR-/home/workdir 

成 功 切换 ， 好 棒 ! 

[root@linuxprobe ~]# cd $WORKDIR 

[root@linuxprobe workdirj# pwd 

/home/workdir 

切换 到 linuxprobe 用 户 : 

[root@linuxprobe workdir]|4 su - linuxprobe 

Last login: Fri Mar 20 20:52:10 CST 2015 on pts/O 

好 奇怪 ， 为 什么 没有 切换 到 /home/workdir B 3x96: 
llinuxprobe@linuxprobe -]$ cd $ WORKDIR 

用 echo 查看 发 现 该 变量 为 空 值 : 

[linuxprobeelinuxprobe -|$ echo $WORKDIR 

现在 的 问题 是 为 什么 某 个 用 户 设置 的 环境 变量 不 能 被 其 他 用 户 使 用 ? 原因 就 在 于 变量 的 作用 范围 。 
export 命令 用 于 将 局 部 变量 提升 为 全 局 变量 ， 格 式 为 : "export 变量 名 [= 变量 值 ]”。 
将 WORKDIR 变量 设置 为 全 局 变量 : 

[rootelinuxprobe ~|# export WORKDIR 

切换 为 linuxprobe 用 户 : 

[root@linuxprobe workdirj# su linuxprobe 

Last login: Fri Mar 20 21:52:10 CST 2015 on pts/O 

很 棒 哦 ~ 成 功 的 切换 了 目录 : 

[linuxprobe@linuxprobe -]$ cd $WORKDIR 

[linuxprobeelinuxprobe workdir] $5pwd 


/home/workdir 
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第 4 章 Vim 编辑 器 与 Shell 命令 脚本 。 
章节 人 简 述 : 
本 章节 将 教 给 您 如 何 使 用 Vim 编辑 峰 来 编号 文档 、 配 置 主 机 名 称 、 网 卡 参 数 以 及 yum 仓库 , 熟练 使 用 各 个 模式 和 和 命令 快捷 键 。 
我 们 可 以 通过 Vim 编辑 器 将 Linux 命令 放 入 合适 的 逻辑 测试 语句 (这 for、while、case) 后 最 终 写 出 简单 实用 的 Shell 脚本 。 
还 可 以 通过 使 用 at 命令 或 配置 Crontab 计划 任务 服务 让 系统 自动 按时 工作 ， 让 日 常 工作 更 加 的 高 效 自动 化 ， 一 劳 永 逸 哦 ~ 


4.1 了 解 Vim 文本 编辑 器 

在 Linux 系统 中 配置 应 用 服务 ， 实 际 上 就 是 在 修改 它 的 配置 文件 〈 配 置 文件 可 能 有 多 个 ， 其 中 包含 不 同 的 参数 )， 
而 且 日 常 工作 中 也 一 定 免不了 编写 文档 的 事情 吧 ， 这 些 都 是 要 通过 文本 编辑 器 来 完成 的 。 

在 热门 Linux 操作 系统 中 都 会 默认 安装 一 款 超 好 用 的 文本 编辑 器 一 名 字 叫 “vim”，vim 是 vi 编辑 器 的 升级 版 。 
Vim 能 够 得 到 这 么 多 厂商 与 用 户 的 认可 ,原因 就 是 在 Vim 编辑 器 中 有 三 种 模式 一 一 命令 模式 .未 行 模式 和 编辑 模式 ， 
分 别 又 有 多 种 不 同 的 命令 快捷 键 组 合 , 很 大 的 提高 了 工作 效率 ， 用 习惯 后 会 觉得 非常 的 顺手 。 要 想 在 文本 操作 时 更 加 
高 效率 ， 我 们 必需 先 搞 清 Vim 编辑 器 的 三 种 模式 的 操作 不 同 与 切换 方法 。 

命令 模式 : 控制 光标 移动 ， 可 对 文本 进行 删除 、 复 制 、 粘 贴 等 工作 。 

输入 模式 : 正常 的 文本 录入 。 

末 行 模式 : 保存 、 退 出 与 设置 编辑 环境 。 

记 住 每 次 运行 vim 编辑 器 后 都 默认 是 “命令 模式 ”， 需 要 先进 入 到 “输入 模式 ”后 再 进行 编写 文档 的 工作 ， 而 每 次 
编辑 完成 需 先 返回 到 “命令 模式 ”后 再 进入 “ 末 行 模式 ”对 文本 的 保存 或 退出 操作 。 

















这 里 为 大 家 总 结 出 了 最 常用 的 快捷 键 命令 ， 读 者 尽量 记 一 下 ， 筷 记 了 来 查 也 可 以 ， 至 于 “输入 模式 ” 则 没有 特殊 技巧 。 
vim 编辑 器 的 命令 模式 中 常用 的 快捷 键 


命令 作用 

dd 删除 (前 切 ) 光 标 所 在 医 行 。 

5dd 删除 ( 剪 切 ) 从 光标 处 开始 的 5 行 。 

yy 复制 光标 所 在 整 行 。 

5yy 复制 从 光标 处 开始 的 5 行 。 

p 将 之 前 删除 (dd) 或 复制 (yy) 过 的 数据 粘贴 到 光标 后 。 
/3 4 在 文本 中 从 上 至 下 搜索 该 字符 囊 。 


?字符 串 在 文本 中 从 下 至 上 搜索 该 字符 串 。 
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n 显示 搜索 命令 定位 到 的 下 一 个 字符 串 。 
N 显示 搜索 命令 定位 到 的 上 一 个 字符 串 。 
u 撤销 上 一 步 的 操作 

vim 编辑 器 的 末 行 模式 中 的 种 用 命令 

0 作用 

W 保存 

jq 退出 

:q! 强制 退出 (放弃 对 文本 的 修改 内 容 ) 
wq! 强制 保存 退出 

:set nu 显示 行 号 

:set nonu T RA 

AE 执行 该 命令 

:整数 跳 转 到 该 行 





需要 读者 注意 的 两 点 : 
1 .在 命令 模式 与 末 行 模式 中 ， 所 有 的 快捷 键 参数 均 区 分 大 小 写 。 
2. 在 末 行 模式 中 所 有 快捷 键 参数 前 都 有 一 个 冒号 ”:“。 


4.1.1 编写 简单 文档 
现在 动手 编写 一 个 文档 吧 、 我 会 把 每 个 步骤 和 按键 尽量 都 标注 出 来 , 如 果 命 令 忘 记 了 就 回 到 上 面 小 节 再 看 看 吧 ~ 超 简单 ! 


Ah : 、 Ah "E Y e » ` 
第 1 步 : 创建 文档 。 第 2 步 : Bou “a”， 进 入 输入 模式 。 
root@linuxprobe:~/Desktop : root@linuxprobe:~/Desktop 
File Edit View Search Terminal Help File Edit View Search Terminal Help 


[root@linuxprobe Desktop]# vim practice.txt 


-- INSERT -- 0,1 All 
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第 3 步 : 输入 一 行 字符 。 第 4 步 : 敲 击 [ESC] 返 回 到 命令 模式 。 


| root@linuxprobe:~/Desktop -|Hx 
root()linuxprobe:"*/Desktop |-|H|X 








File Edit View Search Terminal Help 


File Edit View Search Terminal Help You.can write in it 


You can write in it.lj 








- 1,20 All 
-- INSERT -- 1,21 All 
A& "E ee, ?9 NN A E ` an D 
€ 523: Bd ": wq”， 保 存 并 退出 。 第 6 步 : 查看 文档 的 内 容 。 
root()linuxprobe:*/Desktop -|H|x root()linuxprobe:"*/Desktop -~ | 口 | x 
File Edit View Search Terminal Help File Edit View Search Terminal Help 
fou can write in it. [rootaülinuxprobe Desktop]f£ vim practice.txt 
x [root@linuxprobe Desktop]# cat practice.txt 
fou can write in it. 
[rootülinuxprobe Desktop]# 
wq! 





第 7 步 : 编辑 文件 。 第 8 步 : 敲 击 字母 “0”， 进 入 到 输入 模式 。 








root@linuxprobe:~/Desktop -|O | x root()linuxprobe:*/Desktop -| E |X 
File Edit View Search Terminal Help File Edit View Search Terminal Help 
` root@linuxprobe Desktop]# vim practice.txt You can write in it. 


;rootülinuxprobe Desktop]# cat practice.txt 
fou can write in it. 
;rootülinuxprobe Desktop]£ vim practice.txt 


-- INSERT -- 2,1 All 
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A 


939: 输入 一 行 字符 。 


root@linuxprobe:~/Desktop 


File Edit View Search Terminal Help 


fou can write in it. 
[his Sentenc don't need to save 


2,13 All 
A P H -一 xd ^ B3 
第 1136: 提示 内 容 已 被 修改 ， 不 能 退出 。 
root(glinuxprobe:*/Desktop 
File Edit View Search Terminal Help 
fou can write in it. 
This Sentence don't need to save 
37: No write since last change (add ! to override) 2,13 All 





第 133: 查看 文档 ， 
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第 10 步 : 返回 命令 模式 后 尝试 “: q” 退 出 不 保存 。 
root@linuxprobe:~/Desktop 


File Edit View Search Terminal Help 


You can write in it. 
This Sentence don't need to save 


第 12 步 : Bh “i ql” 后 强制 退出 不 保存 。 


root@linuxprobe:~/Desktop 


File Edit View Search Terminal Help 


You can write in it. 
This Sentence don't need to save 


:q'E 


发 现 第 二 名 确实 没 保存 。 


root()linuxprobe:*/Desktop - |o 


File Edit View Search Terminal Help 

` root@linuxprobe Desktop]# vim practice.txt 
` root@linuxprobe Desktop]# cat practice.txt 
fou can write in it. 

;.rootülinuxprobe Desktop]# vim practice.txt 
.rootülinuxprobe Desktop]£ cat practice.txt 
fou can write in it. 

;rootülinuxprobe Desktop]£ J 


4.1.2 配置 主机 名 称 
红 帽 RHEL7 系统 的 主机 名 称 保存 在 /etc/hostname 文件 中 ， 我 们 要 想 将 其 修改 为 ”linuxprobe.com“， 思 路 大 致 如 下 : 
第 1 步 :使 用 vim 命令 修改 ”/etc/hostname“ 主 机 名 称 文件 。 
第 2 步 :将 原始 主机 名 称 删除 后 追加 ”linuxprobe.com “。 
第 3 步 :保存 退出 并 用 hostname 命令 检查 是 否 修改 成 功 。 
使 用 vim 命令 编辑 主机 名 称 文件 后 末 行 模式 执行 :wdq! 后 即 可 保存 退出 : 
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[root@linuxprobe ~|# vim /etc/hostname 
linuxprobe.com 
使 用 hostname 命令 查看 当前 的 主机 名 称 : 
[root@linuxprobe ~|# hostname 


linuxprobe.com 


4.1.3 配置 网 卡 信息 
既然 已 经 会 用 vim 编辑 器 了 , 快 来 试 试 配置 你 的 Linux 系统 网 卡 吧 , 不 把 网 卡 先 配置 妥当 就 不 能 与 其 他 机 属 通 信 的 。 
在 红 帽 RHEL6 系统 中 网 卡 配 置 文件 的 前 缀 为 ”eth”， 第 1 块 即 为 ”ethO”， 第 2 块 即 为 ”eth1” 并 依 此 类 推 ……: 
而 在 红 帽 RHEL7 系统 中 网 卡 配 置 文件 的 前 缀 则 为 ”ifcfg-eno“， 例 如 ”ifcfg-eno16777736 . 
网 卡 的 配置 文件 存放 在 “/etc/sysconfig/network-scripts” 目 录 中 。 
在 修改 配置 文件 前 ， 先 来 学 些 关键 词 术语 吧 : 
网 卡 类 型 :TYPE=Ethernet 
地 址 分 配 模式 :BOOTPROTO=static 
网 卡 名 称 :NAME=eno16777736 
是 否 启 动 :ONBOOT=yes 
IP 地 址 :IPADDR=192.168.10.10 
T M&S :NETMASK-255.255.255.0 
网 关 地 址 :GATEWAY=192.168.10.1 
DNS 地 址 :DNS1=192.168.10.1 
上 面 的 网 卡 配 置 文件 代表 着 “这 是 一 个 以 太 网 卡 设备 ,名 称 为 ”eno16777736 ”上 且 开 机 自动 启动 , IP 地 址 等 信息 需 由 人 工 指定 ”。 
配置 网 卡 信息 前 先 来 理 清 思路 : 
第 1 步 :首先 我 们 要 切换 到 ”/etc/sysconfig/network-scripts“ 目 录 中 (该 目录 存放 着 网 卡 的 配置 文件 )。 
第 2 步 :使 用 vim 命令 修改 文件 "ifcfg-eno16777736 ^. 
第 3 步 : 逐 项 写 入 配置 参数 ， 并 保存 退出 。 
第 4 步 :重新 启动 网 卡 命令 :”systemctl] restart network“。 
第 5 步 :通过 ping 命令 测试 网 卡 信息 是 否 生 效 。 
切换 到 网 卡 配置 文件 所 在 的 目录 : 
[root@linuxprobe ~|# cd /etc/sysconfig/network-scripts/ 
编辑 网 卡 配置 文件 并 填 入 下 面 的 信息 : 
[root@linuxprobe network-scripts|# vim ifcfg-eno16777736 
TYPE=Ethernet 
BOOTPROTOestatic 
NAMEzeno16777736 
ONBOOT-yes 
IPADDR-192.168.10.10 
NETMASK-255.255.255.0 
GATEWAY-192.168.10.1 
DN$S12192.168.10.1 
重新 启动 网 卡 ， 正 和 常情 况 不 会 提示 信息 : 


[root@linuxprobe network-scripts|# Systemctl restart network 
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不 错 哦 ， 成 功 的 ping 通 证 明 网 卡 配置 正确 并 生效 了 : 
[root@linuxprobe network-scripts|# ping 192.168.10.10 
PING 192.168.10.10 (192.168.10.10) 56(84) bytes of data. 
64 bytes from 192.168.10.10: icmp. seq-1 ttl=64 time-0.081 ms 
64 bytes from 192.168.10.10: icmp. seq-2 ttl=64 time-0.083 ms 
64 bytes from 192.168.10.10: icmp. seq-3 ttl=64 time-0.059 ms 
64 bytes from 192.168.10.10: icmp. seq-4 ttl=64 time-0.097 ms 
zs 
--- 192.168.10.10 ping statistics --- 
4 packets transmitted, 4 received, 096 packet loss, time 2999ms 
rtt min/avg/max/mdev - 0.059/0.080/0.097/0.013 ms 


4.1.4 配置 Yum 仓库 
既然 对 vim 编辑 咒 的 理论 已 经 学 扎实 ， 现 在 就 来 动手 配置 下 Yum 仓库 吧 ~ 先 来 理 清 思 
第 1 步 :首先 我 们 要 切换 到 ”/etc/yum.repos.d/“ 目 录 中 (因为 该 目录 存放 着 yum 仓库 的 配置 文件 ) 
第 2 步 :使 用 vim 编辑 器 创建 并 打开 一 个 名 为 rhel7.repo 的 新 文件 ， 名 称 可 以 自 定义 ， 但 后 缀 必需 为 repo. 
第 3 步 : 逐 项 写 入 配置 参数 ， 并 保存 退出 。 
第 4 步 : 按 配置 参数 的 路 径 将 光盘 挂 载 。 
第 5 步 :将 光盘 挂 载 信息 写 入 到 /etc/fstab x fr v. 
第 6 步 :使 用 ”yum install httpd -y “命令 检查 是 否 配 置 正确 。 
切换 到 /etc/yum.repos.d 目录 中 : 
[root@linuxprobe ~|# cd /etc/yum.repos.d/ 
打开 Vim 界面 后 襄 击 ”a” 进 入 到 插入 模式 : 
编辑 完成 后 敲 击 [ESC] 并 在 末 行 模式 中 :wql 保 存 并 退出 。 
[root@linuxprobe yum.repos.d|# vim rhel7.repo 
[rhel7| 
name=rhel7 
baseurl=file:///media/cdrom 
enabled=1 
gpgcheck=0 
创建 挂 载 光 盘 的 目录 : 
[root@linuxprobe yum.repos.d|4 mkdir -p /media/cdrom 
仓库 提供 方式 为 本 地 ， 所 以 需要 将 光盘 挂 载 到 /media/cdrom 中 : 
[root@linuxprobe yum.repos.d|4 mount /dev/cdrom /media/cdrom 
mount: /dev/srO is write-protected, mounting read-only 
设置 成 开机 自动 挂 载 : 
[root@linuxprobe yum.repos.d|# vim /etc/fstab 
/dev/cdrom /media/cdrom iso9660 defaults O O 
测试 安装 ”httpd” 服 务 ， 出 现 “Complete” 则 代表 Yum 仓库 配置 正确 : 
[root@linuxprobe yum.repos.d|# yum install httpd 
Loaded plugins: langpacks, product-id, subscription-manager 
rhel7 | 4.1 kB 00:00 
(1/2): rhel7/group. gz | 134 kB 00:00 
(2/2): rhel7/primary. db | 3.4 MB 00:00 
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Resolving Dependencies 


eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee ee ee ee e 


Complete! 


4.2 了 解 Shell 脚本 

我 曾经 将 Shell 形容 是 人 与 计算 机 硬件 的 “翻译 官 ”，Shell 作为 用 户 与 Linux 系统 通讯 的 媒介 ， 自 身 也 定义 了 各 种 
变量 与 参数 ， 并 提供 了 诸如 循环 、 分 支 等 高 级 语言 才 有 的 控制 结构 特性 。 如 何 正 确 的 使 用 这 些 功能 ， 准 确 下 达 命令 就 
显得 尤为 重要 。 





Shell 的 工作 形式 分 为 两 种 
交互 式 (Interactive): 用 户 输入 一 条 命令 ，Shell MEI 
批 处 理 (Batch): 用 户 事先 编写 一 个 Shell 脚本 (Scripb， 其 中 包含 诸多 命令 ，Shell 会 一 次 执行 完 所 有 命令 。 


那么 大 家 在 前 面 学 习 Linux 命令 时 ， 大 致 就 是 属于 交换 式 E Shell JE Z& ZEE peo 38 REX EET] AL T JL LE 
Hr. Shell 脚本 需要 用 到 很 多 的 Linux 命令 以 及 结合 之 前 学 习 过 的 正则 表达 法 、 管 道 命令 以 及 数据 流 重 定向 等 语法 规 
则 来 完成 指定 任务 。 
查看 系统 中 所 有 可 用 的 Shell 解 杰 器 : 
[root@linuxprobe ~|# cat /etc/shells 
/bin/sh 
/bin/bash 
/sbin/nologin 
/usr/bin/sh 
/usr/bin/bash 
/usr/sbin/nologin 
/ bin/tcsh 
/ bin/csh 
查看 当前 的 Shell ftt 5: 
[root@linuxprobe ~]# echo $SHELL 
/ bin/bash 


4.2.1 编译 简单 的 脚本 
Shell 脚本 的 编写 要 使 用 到 Vim 文本 编辑 器 ， 按 照 命 令 的 执行 顺序 依次 编写 ， 每 行 写 一 条 Linux 命令 。 并 且 一 个 完整 
的 Shell 脚本 则 应 该 包括 “脚本 声明 、“ 注 杰 信 息 ” 和 “可 执行 语句 - 
BE WD: hn AUR ER shell RAER, 
TEES RP) o VE OVIOR AI USE TIR AR, EARN. 
可 执行 语句 :执行 的 具体 命令 。 
先 来 编写 一 个 简单 的 Shell 脚本 吧 ， 功 能 是 显示 当前 的 工作 路 径 并 列 出 当前 目录 下 的 所 有 文件 与 属性 。 
[root@linuxprobe ~|# vim Example.sh 
#!/bin/bash 
#For Example BY linuxprobe.com 
pwd 
Is -al 
原来 编写 Shell 脚本 如 此 的 简单 ~ 执行 脚本 有 三 种 方法 : 
脚本 文件 路 径 :./Example.sh 
sh 脚本 文件 路 径 :sh Example.sh 
source 脚本 文件 路 径 :source Example.sh 
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只 要 脚本 文件 路 径 没有 写 错 ，sh 或 source 命令 都 可 以 直接 执行 该 脚本 ， 但 直接 访问 脚本 路 径 的 方式 有 反 特 殊 。 
使 用 直接 访问 脚本 路 径 的 方式 提示 出 现 错误 ， 权 限 不 足 : 
[root@linuxprobe ~|# ./Example.sh 
bash: ./Example.sh: Permission denied 
需要 为 脚本 设置 可 执行 权限 后 才能 顺利 运行 : 
[rootelinuxprobe ~|# chmod u+x Example.sh 
再 来 运行 就 没有 问题 了 : 
[root@linuxprobe ~|# ./Example.sh 
/root/Desktop 
total 8 
drwxr-xr-x. 2 root root 23 Jul 23 17:31 . 
dr-xr-x---. 14 root root 4096 Jul 23 17:31.. 
-rWXr-T--. 1 root root 55 Jul 23 17:31 Example.sh 


4.2.2 接收 用 户 的 参数 
Shell 脚本 为 了 能 够 让 用 户 更 灵活 的 完成 工作 需求 ， 应 该 有 办 法 接收 用 户 输入 的 参数 ， 像 上 面 的 脚本 的 写法 真 的 很 不 灵活 。 
您 在 执行 命令 时 的 参数 是 不 是 像 这 样 使 用 : “命令 名 参数 1 参数 2 参数 3”， 所 以 其 实在 可 执行 文件 中 已 经 内 设 

了 接收 用 户 参数 的 位 置 变量 。 





[root@linuxprobe ~}# ./Example.sh one two three four five six 


$1， 第 1 个 位 置 参 数 $2， 第 2 个 位 置 参 数 





不 光 如 此 ， 还 有 这 些 已 经 被 定义 好 的 Shell 预定 义 变量 : 
当 


$0 前 执行 Shell 脚本 的 程序 名 。 

$1-9,${10},${1 1} 参数 的 位 置 变量 。 

$4 一 共有 多 少 个 参数 。 

$* 所 有 位 置 变量 的 值 。 

$? 判断 上 一 条 命令 是 否 执行 成 功 ，0 为 成 功 ， 非 0 为 失败 。 


好 的 ~ 来 动手 完成 一 个 可 以 接收 用 户 参 数 的 Shell 脚本 吧 : 
[root@linuxprobe ~|# vim Example.sh 

#!/bin/bash 

echo "当前 脚本 名 称 为 $0" 

echo "总 共有 $# 个 参数 ， 分 别 是 $*。”" 

echo "第 1 个 参数 为 $1， 第 5 个 为 $5。" 

使 用 sh 命令 来 执行 脚本 ， 并 附带 6 个 参数 : 
[root@linuxprobe ~|# sh Example.sh one two three four five six 
当前 脚本 名 称 为 Example.sh 

总 共有 6 个 参数 ， 分 别 是 one two three four five six. 

第 1 个 参数 为 one， 第 5 个 为 five。 
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4.2.3 判断 用 户 的 参数 
Shell 脚本 有 时 还 要 判断 用 户 输入 的 参数 ， 例 如 像 mkdir 命令 一 样 ， 当 目录 不 存在 则 创建 ， 若 已 经 存在 则 报错 ， 条 
件 测 试 语句 能 够 测试 特定 的 表达 式 是 否 成 立 ， 当 条 件 成 立时 返回 值 为 0， 否则 返回 其 他 数值 。 


测试 语句 格式 :[ REAA ] 


两 边 均 应 有 一 个 空格 


细 分 测试 语句 有 :文件 测试 、 逻 辑 测 试 、 整 数值 比较 、 字 符 串 比较 。 
文件 测试 :[ 操作 符 文件 或 目录 名 |] 





操作 符 作用 

d 测试 是 否 为 目录 。 

-e 测试 文件 或 目录 是 否 存在 。 

下 判断 是 否 为 文件 。 

T 测试 当前 用 户 是 否 有 权限 读 取 。 
-W 测试 当前 用 户 是 否 有 权限 写 入 。 
-X 测试 当前 用 户 是 否 有 权限 执行 。 


测试 /etc/fstab 是 否 为 目录 : 

[root@linuxprobe ~|# | -d /etc/fstab | 

显示 上 一 条 命令 的 返回 值 ， 非 0 则 为 失败 ， 即 不 是 目录 : 
[rootelinuxprobe ~]# echo $? 

1 

测试 /etc/fstab 是 否 为 文件 : 

[root@linuxprobe ~|# | -f /etc/fstab | 

显示 上 一 条 命令 的 返回 值 为 0， 即 fstab 是 文件 : 
[rootelinuxprobe ~]# echo $? 

O 

符号 && 代 表 认 辑 上 的 ”与 “， 当 前 面 的 命令 执行 成 功 才 会 执行 后 面 的 命令 ， 判 断 /dev/cdrom 设备 是 否 存在 ， 若 存 
在 则 输出 Exist: 

[root@linuxprobe ~|# | -e /dev/cdrom | && echo "Exist" 


Exist 
EEMI 表达 式 1 ] 操作 符 [ 表达 式 2 ] 
操作 符 作用 
&& Eid, "MENAR 


|| 39 358 BN] R, "或 者 "的 意思 。 


| 逻辑 的 否 。 
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USER 变量 是 当前 登陆 的 用 户 名 : 

[root@linuxprobe ~]# echo $USER 

root 

若 当 前 登陆 的 用 户 不 是 root， 则 输出 user， 执 行 后 结果 为 空 : 

[rootelinuxprobe ~|# | $USER != root | && echo "user" 

登入 用 户 linuxprobe， 再 来 测试 便 输 出 了 user 字样 : 

[root@linuxprobe ~|# su linuxprobe - 

[linuxprobeelinuxprobe rootl$ [ $USER != root | && echo "user" 

user 

换 回 root 用 户 后 用 加 强 版 的 判断 语句 ， 非 root 用 户 则 输出 user, dE root 则 直接 输出 root: 
[root@linuxprobe ~]# [ $USER != root | && echo "user" || echo "root" 

root 

这 里 请 读者 思考 下 && 与 || 的 逻辑 合 义 ， 因 为 前 面 的 && 不 成 立 ， 所 有 后 面 的 || 才 会 执行 。 
整数 值 比较 :[ 整数 1 操作 符 整数 2 |] 


操作 符 作用 

-eq 判断 是 否 等 于 

-ne 判断 是 否 不 等 于 
-gt 判断 是 否 大 于 

-It 判断 是 否 小 于 

-le 判断 是 否 等 于 或 小 于 
-ge 判断 是 否 大 于 或 等 于 


比较 10 XS XT 10: 

[root&linuxprobe ~|# [ 10 -gt 10 | 

显示 上 一 条 命令 执行 失败 ，10 不 大 于 10: 

[root@linuxprobe ~]# echo $? 

1 

比较 10 是 否 等 于 10: 

[rootelinuxprobe -]* [ 10 -eq 10 | 

显示 上 一 条 命令 执行 成 功 ，10 等 于 10: 

[rootelinuxprobe ~]# echo $? 

O 

获取 当前 可 用 的 内 存量 ， 并 将 此 值 赋值 给 变量 FreeMem， 逐 个 解释 下 吧 ~ 
首先 用 free -m 查看 以 m 为 单位 的 内 存 使 用 情况 , 然后 grep cache: 过 滤 出 剩余 内 存 的 行 , 最 后 用 awk “{print $3F 
过 滤 只 保留 第 三 列 ， 而 FreeMem=' 语 句 ' 则 表示 执行 里 面 的 语句 后 赋值 给 变量 。 
[rootelinuxprobe ~]# FreeMem-free -m | grep cache: | awk ‘{print $3)" 

验证 变量 是 否 已 经 获得 可 用 内 存量 : 


[rootelinuxprobe ~|# echo $FreeMem 
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判断 此 值 是 否 小 与 1024( 单 位 是 M)， 考 小 于 则 提示 内 存 不 足 : 
[root@linuxprobe ~|# [ $FreeMem -lt 1024 | && echo "Insufficient Memory" 


Insufficient Memory 


字符 串 比 较 :[ 字 符 串 1 操作 符 字符 串 2] 
操作 符 作用 


比较 字符 串 内 容 是 否 相 同 。 
E 比较 字符 串 内 容 是 否 不 同 。 


Z 判断 字符 串 内 容 是 否 为 空 。 


判断 String 变量 是 否 为 空 值 : 

[rootelinuxprobe ~]# | -z $String | 

上 一 条 命令 执行 成 功 ， 说 明 变 量 String 确实 为 空 值 : 
[rootelinuxprobe ~]# echo $? 

O 

输出 当前 的 系统 语言 : 

[root@linuxprobe ~]# echo $LANG 

en US.UTF-8 

判断 当前 的 系统 语言 是 否 为 英文 ， 否 则 输出 “不 是 英语 ”: 
[rootelinuxprobe -]* | $SLANG != "en.US" | && echo "Not en.US" 
Not en.US 


4.3 条 件 测试 语 名 

条 件 测 试 语句 能 够 让 Shell 脚本 根据 实际 工作 灵活 调整 工作 内 容 ， 例 如 判断 系统 的 状态 后 执行 指定 的 工作 ， 或 创建 指 

定数 量 的 用 户 ， 批 量 修改 用 户 密 码 ， 这 些 都 可 以 让 Shell 脚本 通过 条 件 测 试 语 名 完成 。 

if RPA 

让 条 件 语 名 分 为 单 分 支 结构 、 双 分 支 结构 、 多 分 支 结构 ， 复 杂 度 逐 级 上 升 ， 但 却 可 以 让 Shell 脚本 更 加 的 灵活 。 
首先 来 说 单 分 支 结 构 ， 仅 用 过 then、 下 关键 词组 成 ， 只 在 条 件 成 立 后 执行 。 


洗 单 分 支 结构 
H 


if 条 件 测试 操作 
then 命令 序列 


if 目录 不 存在 
then 创建 该 目录 





fi 











条 件 成 之 then [a 














—— i 条 件 测 斌 操作 > nM | 一 


条 件 不 成 之 
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单 分 支 证 语句 :判断 目录 是 否 存在 ， 若 不 存在 则 自动 创建 。 
编写 Shell 脚本 并 写 入 下 面 的 语句 : 
[root@linuxprobe ~|# vim Example.sh 
#!/bin/bash 
DIR="/media/cdrom" 
if | |! -e $DIR | 
then 
mkdir -p $DIR 
fi 
执行 后 默认 没有 回 显 ， 读 者 可 动手 添加 echo 语句 显示 创建 过 程 : 
[root@linuxprobe ~|# sh Example.sh 
查看 该 目录 是 否 被 创建 : 
[rootelinuxprobe ~|# Is -d /media/cdrom 
/media/cdrom 
双 分 支 结 构 是 由 让 then, else. fi KWAR, CAE TESTE XAR EAR OE ESL. 


if 条 件 测试 操作 
then 命令 序列 1 


if 能 够 ping 通 
then 提示 服务 器 正常 工作 





else 命令 序列 2 
fi 


else 报警 服务 器 出 现 问题 
fi 


条件 成 之 then ,| 命令 序列 1 … | 

















— it 条 件 测试 操作 一 _ 6 结束 关 断 | 一 








| RIETZ else 





—. 


命令 序列 2 … —] 





双 分 支 证 语句 :判断 指定 主机 能 否 ping 通 ， 根 据 返 回 结果 分 别 给予 提 示 或 警告 。 
为 了 减少 用 户 的 等 待 时 间 ， 需 要 为 ping 命令 追加 -c 参数 代表 发 送 数据 包 的 个 数 ，-i 代表 每 0.2 秒 发 一 个 数据 包 ，-W 
则 为 3 秒 即 超时 。 而 $1 为 用 户 输入 的 第 一 个 参数 (IP 地 址 ), $? 为 上 一 条 命令 的 执行 结果 , 判断 是 否 等 于 0( 即 成 功 )。 
[root@linuxprobe ~|# vim Example.sh 
#!/bin/bash 
ping -c 3 -i 0.2 -W 3 $1 &» /dev/null 
if [ $? -eq 0 | 
then 
echo "Host $1 is up." 
else 
echo "Host $1 is down." 
fi 
给 予 脚本 可 执行 权限 ， 否 则 请 用 sh È source 命令 执行 : 
[rootelinuxprobe ~|# chmod u+x Example.sh 
参数 为 要 检测 的 主机 IP 地 址 ， 根 据 返 回 值 判断 为 up: 
[root@linuxprobe ~|# ./Example.sh 192.168.10.10 
Host 192.168.10.10 is up. 
根据 ping 命令 的 执行 结果 判断 主机 出 现 网 络 故 障 。 
[rootelinuxprobe ~|# ./Example.sh 192.168.10.20 
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Host 192.168.10.20 is down. 
多 分 支 结构 相对 就 比较 复杂 了 ， 是 由 过 then、else、elif、 反 关键 词组 成 ， 根 据 多 种 条 件 成 立 的 可 能 性 执行 不 同 的 
操作 。 
if 条 件 测试 操作 1 if 分 数 为 85~100 之 间 
then 命令 序列 1 then 判 为 优秀 


elif 条 件 测 试 操作 2 elif 分 数 为 70~84 之 间 
then 命令 序列 2 then 判 为 合格 


else esle 
命令 序列 3 判 为 不 合格 
fi 








EERS ben (Sega) 

















TARARES Fiaa aoga | 








“一 elif 杀 件 测试 控 作 2 一 fi — |^ 


| 
BIET. ebe, aen ]—— 
多 分 支 ff 语句 :判断 用 户 输 入 的 分 数 在 那个 区 间 内 ， 然 后 判定 为 优秀 、 合 格 或 不 合格 。 
read 命令 用 于 将 用 户 的 输入 参数 赋值 给 指定 变量 ， 格 式 为 : ”read -p [提示 语句 ] 变量 名 ”。 
使 用 read 命令 让 用 户 为 GRADE 变量 赋值 ， 判 断 分 数 必需 同时 满足 大 于 85 EAF 100 才 输 出 Excellent， 判 断 分 数 
必需 同时 满足 大 于 70 且 小 于 84 才 输 出 Pass， 其 余 所 有 的 情况 均 会 输出 Fail。 
[rootelinuxprobe ~|# vim Example.sh 
#!/bin/bash 
read -p "Enter your score (0-100): " GRADE 
if | $SGRADE -ge 85 | && | SGRADE -le 100 | ; then 
echo "$GRADE is Excellent" 
elif [ $GRADE -ge 70 | && [ SGRADE -le 84 | ; then 
echo '$GRADE is Pass" 
else echo "$GRADE is Fail" 
fi 
给 予 脚本 可 执行 权限 ， 否 则 请 用 sh È source 命令 执行 : 
[rootelinuxprobe ~|# chmod u+x Example.sh 
输入 88 分 ， 满 足 第 一 判断 语句 ， 所 以 输出 Excellent: 
[root@linuxprobe ~|# ./Example.sh 
Enter your score (0-100): 88 
88 is Excellent 
输入 80 分 ， 满 足 第 二 判断 语句 ， 所 以 输出 Pass: 
[rootelinuxprobe ~]# ./Example.sh Enter your score (0-100): 80 
80 is Pass 
输入 30 与 200 分 都 属于 其 他 情况 ， 所 以 输出 Fail: 
[rootelinuxprobe ~]# ./Example.sh Enter your score (0-100): 30 
30 is Fail 
[rootelinuxprobe ~]# ./Example.sh Enter your score (0-100): 200 
200 is Fail 
请 您 动手 在 上 面 Shell 脚本 中 添加 判断 语句 ， 将 所 有 小 于 0 分 或 大 于 100 分 的 输入 都 予以 警告 。 
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for 条 件 语句 
for 条 件 语句 会 先 读 取 多 个 不 同 的 变量 值 ， 然 后 逐一 执行 同一 组 命令 。 
for 变量 名 in 取 值 列表 for 用 户 名 in 列表 文件 
Jv Jm 户 并 设置 密码 
done done 
| do 命令 序列 …， PECERA 
一 ”| for 变量 = 取 值 1 done 结束 循环 | 一 一 
| zT 
for 条 件 语句 :从 列表 文件 中 读 取 用 户 名 ， 逐 个 创建 用 户 并 将 密码 设置 。 
创建 用 户 名 称 列表 文件 : 
[root@linuxprobe ~|# vim users.txt 
andy 
barry 
carl 
duke 
eric 
george 


Shell 脚本 提示 用 户 输入 要 设置 的 密码 并 赋值 给 PASSWD 变量 ， 从 users.txt 文件 中 读 入 用 户 名 并 赋值 给 UNAME 变 
量 ， 而 查看 用 户 的 信息 都 重 定向 到 /dev/null 文件 ， 不 显示 到 屏幕 。 
[rootelinuxprobe ~|# vim Example.sh 

#!/bin/bash 

read -p "Enter The Users Password : " PASSWD 

for UNAME in 'cat users.txt' 

do 

id $SUNAME &» /dev/null 

if [ $? -eq O ] 

then 

echo "Already exists" 

else 

useradd $UNAME &> /dev/null 

echo "SPASSWD' | passwd --stdin SUNAME &> /dev/null 
if [ $? -eq 0 | 

then 

echo "Create success" 

else 

echo "Create failure" 

fi 

fi 


done 
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执行 批量 创建 用 户 的 Shell 脚本 程序 ， 输 入 为 用 户 设 定 的 密码 口令 ， 检 查 脚本 是 否 为 我 们 完成 创建 用 户 的 动作 : 
[root@linuxprobe ~|# source Example.sh 
Enter The Users Password : linuxprobe 
Create success 
Create success 
Create success 
Create success 
Create success 
Create success 
[root@linuxprobe ~|# tail -6 /etc/passwd 
andy:x:1001:1001::/home/andy:/bin/bash 
barry:x:1002:1002::/home/barry:/bin/bash 
carl:x:1003:1003::/home/carl:/bin/bash 
duke:x:1004:1004::/home/duke:/bin/bash 
eric:x:1005:1005::/home/eric:/bin/bash 
george:x:1006:1006::/home/george:/bin/bash 
这 个 Shell 脚本 还 存在 一 个 小 小 的 遗憾 ， 它 只 会 输出 帐号 创建 成 功 或 失败 ， 但 没有 指明 是 那个 帐号 ， 这 个 功能 请 读者 
动手 添加 下 ， 记 得 是 要 用 $UNAME X ER 
for 条 件 语句 :从 列表 文件 中 读 取 主 机 地 址 ， 逐 个 测试 是 否 在 线 。 
首先 创建 主机 地 址 列表 : 
[root@localhost ~|# vim ipadds.txt 
192.168.10.10 
192.168.10.11 
192.168.10.12 
这 个 脚本 可 以 参考 前 面 双 分 支 寺 语句 
主机 IP 地址 测试 主机 是 否 在 线 : 
[root@localhost ~|# vim Example.sh 
#!/bin/bash 
HLIST=$ (cat ~/ipadds.txt) 
for IP in $HLIST 
do 
ping -c 3 -i 0.2 -W 3 $IP &» /dev/null 
if [ $? -eq O | ; then 
echo "Host SIP is up.” 





从 ipadds.txt 中 读 取 主机 地 址 后 赋值 给 HLIST 变量 后 逐个 ping 列表 中 的 


else 

echo "Host SIP is down." 

fi 

done 

[root&linuxprobe ~|# ./Example.sh 
Host 192.168.10.10 is up. 

Host 192.168.10.11 is down. 
Host 192.168.10.12 is down. 


while 条 件 语句 


.1 
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while 条 件 语句 用 于 重复 测试 某 个 条 件 ， 当 条 件 成 立时 则 继续 重复 执行 。 


while 未 猜 中 正确 价格 


while 条 件 测试 操作 
do 


do 
反复 猜测 商品 价格 
done 


命令 序列 
done 











条 件 成 立 
| do 命令 序列 … | 


LOT 
done 结束 循环 





— while FIARE 














D 
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while 条 件 语 名 :随机 生成 一 个 0-999 的 整数 ， 判 断 并 提示 用 户 输 入 的 值 过 高 或 过 低 ， 只 有 当 用 户 猜 中 才 结 束 程序 。 
脚本 中 的 $RANDOM 是 一 个 随机 变量 ， 用 于 在 %1000 后 会 得 到 一 个 介 于 0-999 的 整数 后 赋值 给 PRICE 变量 ，while 
后 面 的 true 代表 该 循环 会 永久 循环 执行 : 


#!/bin/bash 


PRICE=$ (expr $RANDOM % 1000) 


TIMES=0 


echo "商品 实际 价格 为 0-999 之 间 ， 猜 猜 看 是 多 少 ? " 


while true 
do 


read -p "请 输入 你 猜测 的 价格 数目 : INT 


let TIMES++ 


if [ SINT -eq $PRICE | ; then 
echo "FERAT, SE SPRICE 
echo "你 总 共 猜 测 了 $TIMES 次 " 


exit O 


elif | SINT -gt $PRICE | ; then 


echo "KJ!" 


else 


echo "KIRI! " 


fi 


done 


动手 试 试 运行 Shell 脚本 吧 ， 每 次 RANDOM 变量 的 值 都 是 随机 的 : 


[rootelinuxprobe ~|# chmod u+x Example.sh 


[root&linuxprobe ~|# ./Example.sh 
商品 实际 价格 为 0-999 之 间 ， 猜 猜 看 是 多 少 ? 
请 输入 你 猜测 的 价格 数目 : 500 


AIRT! 


请 输入 你 猜测 的 价格 数目 : 800 


Am T! 


请 输入 你 猜测 的 价格 数目 : 650 


ART! 
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请 输入 你 猜测 的 价格 数目 : 720 
太 高 了 ! 

请 输入 你 猜测 的 价格 数目 : 690 
ART] 

请 输入 你 猜测 的 价格 数目 : 700 
太 高 了 ! 

请 输入 你 猜测 的 价格 数目 : 695 
太 高 了 ! 

请 输入 你 猜测 的 价格 数目 : 692 
XB T! 

请 输入 你 猜测 的 价格 数目 : 691 
茶 喜 你 答对 了 ， 实 际 价格 是 691 
你 总 共 猜 测 了 9 次 


case 条 件 语句 
case 条 件 语句 可 以 依据 变量 的 不 同 取 值 ， 分 别 执行 不 同 的 命令 动作 。 


case 输入 的 字符 in 


命令 序列 1 


模式 2) 
命令 序列 2 


E. *) 
默认 命令 序列 提示 为 特殊 字符 


esac esac 
























































无 
| 有 
| 命令 序列 1… | “> | 
E: esac 结束 分 志 | 一 > 
qe | 命令 序列 2… | 
一 > 一 Case 变量 = 模式 1 一 
是 
[8 4 zi | 默认 命令 序列 … | 
Da 变量 -模式 2 - - 
[8 





变量 -其 他 值 (一 


case 条 件 语句 :提示 用 己 输 入 一 个 字符 ， 判 断 该 字符 是 字母 、 数 字 或 特殊 字母 。 

提示 用 户 输入 一 个 字符 并 将 其 赋值 给 变量 KEY， 判 断 变量 KEY 为 何 种 字符 后 分 别 输出 是 字母 、 数 字 还 是 其 他 字符 : 
[root@linuxprobe ~|# vim Example.sh 

#!/bin/bash 

read -p "请 输入 一 个 字符 ， 并 按 Enter 键 确认 : "KEY 

case "$KEY" in 

[a-z] |[A-2]) 

echo "您 输入 的 是 字母 。" 


[0-9]) 
echo "您 输入 的 是 数字 。" 
echo "您 输入 的 是 空格 、 功 能 键 或 其 他 控制 字符 。" 
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esac 


[rootelinuxprobe ~|# chmod u+x Example.sh 
[root&linuxprobe ~|# ./Example.sh 

请 输入 一 个 字符 ， 并 按 Enter 键 确认 : 6 

您 输入 的 是 数字 。 

[root@linuxprobe ~|# ./Example.sh 

TEMA CAREER, Hi Enter AN: p 

您 输入 的 是 字母 。 

[root@linuxprobe ~|# ./Example.sh 

请 输入 一 个 字符 ， 并 按 Enter 键 确认 :^[[15~ 
您 输入 的 是 空格 、 功 能 键 或 其 他 控制 字符 。 


4.4 计划 任务 服务 

有 经 验 的 系统 运 维 工程 师 能 够 让 系统 自动 化 运行 ， 无 需 人 工 的 于 预 就 可 以 让 各 个 服务 、 命 令 在 指定 的 时 间 段 运行 、 停 止 。 
实际 上 这 些 操 作 都 是 由 系统 的 计划 任务 功能 完成 的 , 而 计划 任务 又 分 为 “一 次 性 ”与 “长 期 性 ”之 分 , 可 以 理解 为 : 

一 次 性 计划 任务 : 今 晚 11 点 30 分 开启 网 站 服务 (例如 新 网 站 的 公测 ) 

长 期 性 计划 任务 :每 周 1、3、5 的 凌晨 3 点 25 分 将 /home/wwwroot 目录 打包 备份 为 backup.tar.gz 

先 来 讲 一 次 性 任务 吧 ， 它 是 由 atd 服务 /进程 来 实现 的 ， 计 划 的 管理 操作 是 ”at” 命 令 ， 具 体 的 可 用 参数 如 下 : 


参数 作用 


at < 时 间 > 安排 一 次 性 任务 

atq 或 at -l 查看 任务 列表 

at-c 序号 预览 任务 与 设置 环境 
atrm 序号 删除 任务 


一 般 用 at 命令 创建 计划 任务 有 交互 式 与 非 交 互 式 两 种 方法 ， 先 来 看 看 交换 式 的 方法 ，(〈 输 完成 后 裔 击 Ctrl+d 来 保存 
3R d: 

[rootelinuxprobe ~|# at 23:30 

at > Systemctl start httpd 

at > 

job 3 at Mon Apr 27 23:30:00 2015 

[rootelinuxprobe ~|# atq 

3 Mon Apr 27 23:30:00 2015 a root 

直接 用 echo 语句 将 要 执行 的 命令 传送 给 at 命令 
[rootelinuxprobe ~]# echo 'systemctl start httpd" | at 23:30 
job 4 at Mon Apr 27 23:30:00 2015 

[rootelinuxprobe ~|# atq 

3 Mon Apr 27 23:30:00 2015 a root 

4 Mon Apr 27 23:30:00 2015 a root 

删除 的 时 候 只 需要 用 atrm 命令 与 任务 编号 就 可 以 啦 ~ 


[root@linuxprobe ~|# atrm 3 
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[root@linuxprobe ~|# atrm 4 
[root@linuxprobe ~|# atq 
对 于 创建 长 期 可 循环 的 计划 任务 ， 则 要 用 到 cron 服务 啦 ， 有 具体 使 用 方法 如 下 : 
创建 、 编 辑 计划 任务 :crontab -e [-u 用 户 名 ] 
查看 计划 任务 :crontab 4 [-u 用 户 名 ] 
删除 计划 任务 :crontab -r [-u 用 户 名 ] 
其 中 在 创建 、 编 辑 计 划 任 务 时 有 个 固定 的 格式 ， 请 读者 们 一 定 要 记 住 。 


周期 设置 |- 任务 内 容 设置 





cA command | 


rd 








字段 说 明 

分 钟 取 值 为 从 0 到 59 之 间 的 整数 

小 时 取 值 为 从 0 8| 23 之 间 的 任意 整数 

日 期 取 值 为 1 到 31 之 间 的 任意 整数 

人 取 值 为 1 到 12 之 间 的 任意 整数 

星期 取 值 为 0 到 7 之 间 的 任意 整数 ， 其 中 0 与 7 均 为 星期 日 
命令 要 执行 的 命令 或 程序 脚本 


需要 用 cron 计划 任务 实现 的 功能 :” 每 周 1、3、5 的 凌晨 3 点 25 分 将 /home/wwwroot 目录 打包 备份 为 backup.tar.gz" 
编辑 root 用 户 自己 的 计划 任务 : 

[rootelinuxprobe ~|# crontab -e 

no crontab for root - using an empty one 

crontab: installing new crontab 

使 用 ”crontab -1” 命令 查 看 计划 任务 的 内 容 : 

[root@linuxprobe ~|# crontab -l 

25 3 * * 1,3,5 /usr/bin/tar -czvf backup.tar.gz /home/wwwroot 

如 果 想 对 某 个 用 户 设置 多 个 计划 任务 ， 则 可 直接 用 ”crontab -e“ 命 令 将 命令 逐条 添加 即 可 ， 让 计划 任务 自动 在 每 周 
1-5 的 凌晨 1 点 打包 网 站 目录 后 自动 清除 /tmp 目录 下 的 所 有 文件 :: 

[root@linuxprobe ~|# crontab -e 

crontab: installing new crontab 

[root@linuxprobe ~|# crontab -l 

25 3 * * 1,3,5 /usr/bin/tar -czvf backup.tar.gz /home/wwwroot 

O 1 * * 1-5 /usr/bin/rm -rf /tmp/* 

本 章 结束 ， 和 您 可 以 在 此 写 下 笔记 : 
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第 5 章 用 户 身 份 与 文件 权限 。 
章节 人 简 述 : 
详细 的 为 读者 讲述 了 用 户 、 用 户 组 和 其 余人 在 系统 中 的 不 同 身 份 与 能 力 ， 以 及 文件 的 读 四 写 (由 执行 四 权限 的 作用 。 
为 了 让 系统 更 加 的 安全 还 需要 学 习 SUID、SGID 和 SBIT 的 文件 特殊 权限 ， 文 件 隐藏 权限 以 及 ACL 访问 控制 列表 。 
学 会 su 命令 和 sudo 服务 后 一 定 能 够 满足 您 以 非 超级 用 户 操作 实验 或 日 党 工作 的 需求 , 同时 也 保证 了 系统 的 安全 性 。 


5.1 用 户 身份 与 能 力 

类 Unix 系 统 的 设计 初衷 就 是 为 让 多 用 户 同 时 工作 , 所 以 也 迫使 Linux 系统 有 了 极 强 的 安全 性 , 在 前 面 安 装 红 帽 RHEL7 
操作 系统 时 还 特别 要 求 “设置 root 用 户 密码 ”， 而 root 用 户 是 存在 于 所 有 类 UNIX 系统 中 的 ”超级 用 户 “ 

root 用 户 拥 有 极 高 的 系统 所 有 权 ， 能 够 管理 系统 的 各 项 功能 ， 如 添加 /删除 用 户 ， 上 居 动 /关闭 进程 ， 开 居 / 禁 用 硬件 设 
备 等 权限 。 虽然 使 用 root 用 户 工作 时 不 会 受到 权限 的 控制 ， 但 老话 讲 “能 力 越 大 ， 责 任 就 武大 ”， 一 旦 我 们 使 用 这 
个 高 能 的 root 用 户 襄 出 错误 的 命令 就 有 可 能 毁 挥 整个 系统 ， 真 得 好 好 权衡 下 啊 。 

而 其 实 ”root“ 只 是 个 名 字 ， 真 正 让 它 成 为 “超级 用 户 ” 的 是 UID 值 : 

UID (WẸ User IDentification 的 缩写 ): 每 个 用 户 都 有 对 应 的 UID 值 ， 就 像 我 们 的 身份 证 号 码 。 

超级 用 户 UIDO:root 用 户 默 认为 0。 

系统 用 户 UID1-999: 系 统 中 系统 服务 由 不 同 用 户 运 行 ， 更 加 安全 ， 默 认 被 限制 登陆 系统 。 

普通 用 户 UID1000~: 即 管理 员 创 建 的 用 于 日 常 工 作 而 不 能 管理 系统 的 普通 用 户 。 

注意 UID 一 定 是 不 能 冲突 的 ， 管 理 员 创 建 的 普通 用 户 UID 1000 开始 (即便 前 面 有 闲置 的 号 码 ) 

帐户 名 称 与 UID 保存 在 /etc/passwd 文件 中 ， 而 帐户 密码 则 保存 在 /etc/shadow 文件 中 。 

GID( 即 Group IDentification 的 缩写 ): 可 将 多 个 用 户 加 入 茶 个 组 中 ， 方 便 指 派 任 务 或 工作 。 

想象 公司 员工 如 果 想 要 在 间 部 门 内 共享 资料 ， 就 可 以 加 入 自己 的 工作 组 如 技术 部 、 运 维 部 、 财 务 部 …… 

每 个 用 户 在 被 创建 时 均 会 创建 一 个 默认 组 (其 GID 5 UID 相同 ， 俗 称 基本 组 ) 而 后 加 入 的 则 叫 扩展 组 ， 一 定 要 分 清楚 。 
用 户 组 名 称 与 GID 保存 在 /etc/group 文件 中 。 


5.2 文件 权限 与 归属 
Linux 系统 中 一 切 都 是 文件 ， 文 件 和 目录 的 所 属 与 权限 一 一 来 分 别 规定 所 有 者 、 所 有 组 、 其 余人 的 读 ， 写 ， 执 行 权 有限。 
读 (read)， 写 (write)， 执 行 e (xecute) 简写 即 为 (r,W,x)， 亦 可 用 数字 (4,2,1) 表 示 


A IE Ed 


a 
文件 所 有 者 


举例 :如 果菜 文件 权限 为 7 则 代表 可 读 ， 可 写 ， 可 执行 (4+2+1)。 阁 权限 为 6(4+2) 则 代表 可 读 ， 可 写 。 

那么 权限 为 5 与 3 时 分 别 代 表 了 什么 ? 想 出 答案 后 用 鼠标 选中 下 行 即 出 答案 ( 管 案 模 式 ) 

答案 : 权限 为 5 代表 可 读 (4) 和 可 执行 (1)。 而 权限 为 3 代表 可 写 (2) 和 和 可 执行 (1)。 

例如 下 图 中 的 文件 所 有 者 ( 属 主 ) 为 root, 所 有 组 ( 属 组 ) 为 root， 文 件 名 为 instsallLlog， 权 限 位 的 第 一 个 减 号 ”一 “ 代 
表 的 是 文件 类 型 : 

-: 普 通 文 件 ，d: 目 录 文 件 ，1: 链 接 文件 ，b: 块 设备 文件 ，c: 字 符 设备 文件 ，p: 管 道 文件 


[root@localhost ~]# Is -I install.log 
-rw-r-r- 1 root root 34298 04-02 00:23 install.log 
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文件 的 权限 为 rw-r -T 二 也 就 是 分 别 表示 所 有 者 ( 属 主 ) 有 读 写 权限 ， 所 有 组 ( 属 组 ) 有 读 权 限 ， 其 余人 也 仅 有 读 权 限 。 
这 个 时 候 发 现 问题 了 吗 ? 对 于 目录 文件 的 读 和 写 权 限 我 们 还 可 以 理解 ， 目 录 要 能 执行 操作 ? 
普通 文件 即 实 际 保存 数据 的 地 方 ， 其 并 不 具备 删除 自身 的 权限 : 
r: 可 读 取 文件 的 实际 内 容 
W: 可 编辑 /新 增 /修改 该 文件 的 实际 内 容 
XxX: 可 被 执行 
目录 文件 即 保存 有 目录 结构 和 文件 权限 : 
r: 可 读 取 目录 结构 和 和 权限 
W: 可 更 改 目 录 结 构 列 表 、 新 建 /删除 / 重 命名 /转移 子 文件 /目录 。 
XxX: 表示 用 户 可 进入 到 该 目录 中 


5.3 文件 的 特殊 权限 

单纯 对 文件 位 置 的 rwx 权限 肯定 不 能 满足 我 们 对 安全 、 便 捷 工 作 的 需求 ,所 以 便 有 了 SUID 与 SGID 的 特殊 权限 机 制 。 
SUID: 让 执行 者 临时 拥有 属 主 的 权限 〈 仅 对 拥有 执行 权限 的 二 进 制 程序 有 效 ) 

比如 所 有 用 户 都 可 以 执行 用 于 修改 用 户 密码 的 passwd 命令 ， 但 用 户 密码 保存 在 /etc/shadow 文件 中 ， 默 认 权 限 是 
000 即 除了 超级 用 户 root 外 的 所 有 用 户 都 没有 查看 或 编辑 该 文件 的 权限 ， 所 以 对 passwd 命令 加 上 SUID 权限 位 ， 
则 可 让 普通 用 户 临 时 获得 程序 所 有 者 的 身份 ， 即 以 root 用户 的 身份 将 变更 的 密码 信息 写 入 到 shadow 文件 中 。 
SGID: 

功能 一 : 让 执行 者 临时 拥有 属 组 的 权限 (对 拥有 执行 权限 的 二 进 制程 序 设置 ) 

举例 来 说 /dev/kmem 是 一 个 字符 设备 文件 ， 用 于 存储 内 核 程序 要 访问 的 数据 ， 权 限 为 : 

cr-r—-  lrootsystem 2, 1 Feb 11 2015 kmem 

读者 们 看 出 问题 了 吗 ? 除了 以 root 身份 或 system 组 成 员 的 用 户 都 没有 读 取 该 文件 的 权限 ， 但 用 户 又 需要 使 用 系统 
的 ps 命令 来 查看 系统 进程 状态 ， 所 以 为 了 让 用 户 能 够 获取 到 系统 状态 信息 ，ps 命令 的 权限 被 加 了 SGID 位 : 
-T-XT-ST-X 1 bin system 59346 Feb 11 2015 ps 

这 样 因为 被 给 予 了 SGID 权限 ， 所 以 当 用 户 执行 了 ps 命令 ， 实际 有 效用 户 组 就 是 System 啦 ， 于 是 便 能 够 顺利 的 读 取 
设备 文件 啦 ~ 

功能 二 : 在 该 目录 中 创建 的 文件 自动 继承 此 目录 的 用 户 组 (只 可 以 对 目录 设置 ) 

比如 我 们 将 某 个 部 门 的 工作 目录 给 予 了 SGID 权限 , 这 样 所 有 和 创建 的 文件 都 归 相 同 的 工作 组 , 这 样 方便 以 后 的 管理 。 
chmod 命令 用 于 修改 文件 或 目录 的 权限 ， 格 式 为 : ”chmod [参数 ] 权限 文件 或 目录 名 称 ”。 

chown 命令 用 于 修改 文件 或 目录 的 所 属 主 与 所 属 组 , 格式 为 : “chown [参数 ] 所 属 主 : 所 属 组 文件 或 目录 名 称 ”。 
chmod 与 chown 的 命令 参数 很 简单 记 一 一 对 于 文件 不 加 参数 ， 遇 到 目录 加 大 写 -R( 递 归 ， 修 改 目 录 内 所 有 文件 的 属 
B). 

创建 工作 目录 并 给 予 GID 权限 : 

[root@linuxprobe ~|# cd /tmp 

[root@linuxprobe tmp|# mkdir testdir 

[root@linuxprobe tmp]# ls -ald testdir/ 

drwxr-xr-x. 2 root root 6 Feb 11 11:50 testdir/ 

[rootelinuxprobe tmp] chmod -Rf 777 testdir/ 

[rootelinuxprobe tmp|# chmod -Rf g«s testdir/ 

[rootelinuxprobe tmp]|* ls -ald testdir/ 

drwxrwsrwx. 2 root root 6 Feb 11 11:50 testdir/ 

切换 至 普通 用 户 linuxprobe， 在 该 目录 创建 文件 : 

[root@linuxprobe tmp|£ su - linuxprobe 

Last login: Wed Feb 11 11:49:16 CST 2015 on pts/O 
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[linuxprobe@linuxprobe ~|$ cd /tmp/testdir/ 
[linuxprobe@linuxprobe testdirj$ echo linuxprobe.com > test 
[linuxprobe@linuxprobe testdir]$ Is -al 
total 8 
drwxrwsrwx. 2 root root 17 Feb 11 11:50. 
drwxrwxrwt. 18 root root 4096 Feb 11 11:50.. 
-rW-rw-r--. 1 linuxprobe root 15 Feb 11 11:50 test 
SBIT(Sticky Bit): 只 可 管理 自己 的 数据 而 不 能 删除 他 人 文件 ( 仅 对 目录 有 效 ) 
一 般 老 师 希 望 学 生 可 以 将 作业 上 传 到 某 个 特定 目录 一 但 为 了 避免 某 些小 破坏 份子 ， 想 限制 删除 其 他 和 人 文件 的 话 ， 
那 就 要 设置 SBITT 位 了， 当然 也 可 以 叫做 特殊 权限 位 之 糙 沾 位 。 
切换 至 普通 用 户 ， 进 入 tmp 目录 : 
[root@linuxprobe tmp|£ su - linuxprobe 
Last login: Wed Feb 11 12:41:20 CST 2015 on pts/O 
[linuxprobe?linuxprobe -|$ cd /tmp 
查看 目录 权限 ， 最 后 的 t 就 是 代表 的 粘 汪 位: 
[linuxprobe@linuxprobe tmp]|$ Is -ald 
drwxrwxrwt. 17 root root 4096 Feb 11 13:03. 
创建 一 个 文件 吧 : 


[|linuxprobe@linuxprobe tmpj$ echo "for test " > test 





[linuxprobeelinuxprobe tmp|$ chmod -Rf 777 test 

给 予 这 个 文件 最 大 的 权限 (rwxrwxrwx,777): 
[linuxprobe@linuxprobe tmp]$ Is -al test 

-rwxrwxrwx. 1 linuxprobe linuxprobe 10 Feb 11 12:59 test 
此 时 切换 到 普通 用 户 blackshield 党 试 删除 该 文件 : 
[root@linuxprobe tmp|# su - blackshield 

Last login: Wed Feb 11 12:41:29 CST 2015 on pts/1 
[blackshieldelinuxprobe -]$ cd /tmp 
[blackshieldelinuxprobe tmp]|$ rm test 

rm: remove write-protected regular file ‘test? ? y 


rm: cannot remove ‘test? : Operation not permitted 


删除 该 文件 时 会 提示 错误 ， 上 所 以 即便 权限 很 充足 ， 但 因为 特殊 权限 SBIT 的 缘故 所 以 依然 无 法 删除 其 他 人 的 文件 。 


5.4 文件 的 隐藏 属性 

文件 权限 除了 读 写 执行 与 SUID、SGID、SBIT 外 还 有 一 种 隐藏 权限 ， 例 如 明明 有 权限 删除 某 个 文件 却 报错 了 ， 或 者 仅 
能 为 某 个 文件 追加 内 容 而 不 能 减少 内 容 ， 直 到 这 种 很 “奇怪 ”的 文件 ， 就 要 怀疑 是 文件 被 设置 隐藏 权限 了 。 

chattr 命令 用 于 设置 文件 的 隐藏 权限 ， 格 式 为 : “chattr [参数 | 文件 ”。 


参数 作用 
i 将 无 法 对 文件 进行 修改 , 考 对 目录 设置 后 则 仅 能 修改 子 文件 而 不 能 新 建 或 删除 。 
a 仅 允 许 补 充 (追加 ) 内 容 .无 法 覆盖 /删除 (Append Only). 


S 文件 内 容 变 更 后 立即 同步 到 硬盘 (Sync)。 
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S 彻底 从 硬盘 中 删除 ， 不 可 恢复 (用 0 填充 原文 件 所 在 硬盘 区 域 )。 
A 不 再 修改 这 个 文件 的 最 后 访问 时 间 (atime)。 
b 不 再 修改 文件 或 目录 的 存 取 时 间 。 
D 检查 压缩 文件 中 的 错误 。 
d 当 使 用 dump 命令 备份 时 忽略 本 文件 /目录 。 
c 默认 将 文件 或 目录 进行 压缩 。 
u 当 删 除 此 文件 后 依然 保留 其 在 硬盘 中 的 数据 ， 方 便 日 后 恢复 。 
t 让 文件 系统 支持 尾部 合并 (tail-merging)。 
X 可 以 直接 访问 压缩 文件 的 内 容 。 
lsattr 命令 用 于 显示 文件 的 隐藏 权限 ， 格 式 为 : “lsattr [参数 ] 文件 ”。 
参数 作用 
a 显示 所 有 文件 和 目录 。 
] 显示 隐藏 属性 的 全 称 (默认 简写 成 一 个 字母 )。 
R 递归 处 理 ， 将 指定 目录 下 的 所 有 文件 及 子 目 录 一 并 处 理 。 
d 若 目 标 文件 为 目录 ， 请 加 此 参数 。 


写 入 一 个 名 为 lnuxprobe, 内 容 为 ”for Test ”的 普通 文件 : 
[rootelinuxprobe ~|# echo "for Test" > linuxprobe 

尝试 用 rm 命令 删除 ， 结 果 成 功 : 

[root@linuxprobe ~|# rm linuxprobe 

rm: remove regular file "linuxprobe' ? y 

再 次 写 入 linuxprobe 文件 : 

[root@linuxprobe ~|# echo "for Test" > linuxprobe 

添加 仅 允 许 追 加 的 隐藏 权限 〈 无 法 删除 与 覆盖 ) : 
[rootelinuxprobe ~|# chattr +a linuxprobe 

再 来 尝试 删除 发 现 已 经 报错 : 

[root@linuxprobe ~|# rm linuxprobe 

rm: remove regular file ‘linuxprobe ? y 

rm: cannot remove  linuxprobe' : Operation not permitted 
而 用 Is 也 无 法 看 到 不 同 的 地 方 : 

[root@linuxprobe ~|# ls -al linuxprobe 

-rW-r-r--. 1 root root 9 Feb 12 11:42 linuxprobe 

用 lsattr 命令 则 原形 毕 圳 了， 果然 是 因为 这 个 隐藏 权限 : 


[root&linuxprobe ~|# lsattr linuxprobe 
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NT a---------- linuxprobe 


去 除 对 linuxprobe 文件 设置 的 隐藏 权限 : 
[root@localhost ~|# chattr -a linuxprobe 

再 来 看 下 linuxprobe 文件 的 隐藏 权限 (已 经 没有 了 ): 
[root@localhost ~|# lsattr linuxprobe 

---------------- linuxprobe 

尝试 删除 该 文件 (已 经 可 以 顺利 删除 了 ): 
[root@localhost -| rm linuxprobe 


rm: remove regular file ‘linuxprobe ? y 


5.5 su 命令 与 sudo 服务 

我 建议 读者 使 用 非 超 级 用 户 的 普通 身份 来 操作 实验 或 日 常 工作 ， 这 样 会 更 加 的 安全 ， 当 执行 了 错误 的 命令 后 也 很 少 
会 让 系统 完全 骨 江 ,但 因为 许多 的 系统 管理 命令 只 有 超级 用 户 才 可 以 使 用 ， 所 以 无 疑 也 让 用 户 受 到 更 多 的 束缚 ， 如 何 
让 普通 用 户 执行 这 些 程序 呢 ? 

su 命令 用 于 变更 使 用 者 的 身份 (切换 登陆 者 )， 格 式 为 : “su H 用 户 名 ”。 

root 用 户 切换 到 其 他 用 户 时 无 需 输入 密码 ， 党 斌 切换 到 普通 用 户 linuxprobe: 

[root@linuxprobe ~|# su linuxprobe 

成 功 切 换 后 查看 环境 变量 : 

[linuxprobeelinuxprobe root]$ echo $PATH 

/usr/local/bin:/usr/local/sbin:/usr/bin:/usr/sbin:/bin:/sbin:/root/bin 

普通 用 户 再 切换 用 户 需要 输入 对 方 帐户 密码 才 可 以 : 

[linuxprobe@linuxprobe root|$ su root 

Password: 

若 需 将 环境 变量 改变 为 新 用 户 的 ， 请 加 参数 ”-“: 

[root@linuxprobe ~|# su - linuxprobe 

Last login: Mon Aug 24 19:27:09 CST 2015 on pts/0 

再 次 查看 环境 变量 : 

[linuxprobe@linuxprobe ~]$ echo $PATH 
/usr/local/bin:/bin:/usr/bin:/usr/local/sbin:/usr/sbin:/home/linuxprobe/ local/bin:/home/linuxprobe/bin 

从 su 切换 用 户 模式 中 退出 : 

[linuxprobeelinuxprobe ~]$ exit 

logout 

E 8| root 用 户 的 身份 : 

[rootelinuxprobe -]4 

sudo 命令 用 于 给 普通 用 户 提供 额外 权利 来 完成 原本 超级 用 户 才 能 完成 的 任务 , 格式 为 : sudo [参数 ] 命令 名 称 ”。 
上 面 su 命令 允许 普通 用 户 完 全 变更 为 超级 管理 员 的 身份 , 但 这 也 无 疑 会 让 系统 增添 很 多 的 安全 隐患 ,我们 使 用 sudo 
程序 可 以 仅 将 特定 的 命令 /程序 执行 权限 赋予 给 指定 的 用 户 , 同时 也 避免 了 过 多 使 用 root 身份 , 只 要 合理 的 配置 sudo 
功能 便 可 以 合理 的 兼顾 系统 的 安全 性 和 用户 便捷 性 ， 给 读者 的 原则 : 

在 保证 普通 用 尸 完成 工作 的 前 提 下 ， 尽 可 能 少 的 给 予 额外 的 权限 。 

总 结 来 说 sudo 的 特色 功能 有 : 

1: 限 制 用 户 执行 指定 的 命令 。 

2: 记 录用 户 执行 的 每 一 条 命令 。 

3: 配 置 文件 (etc/sudoers) 提供 集中 的 管理 用 户 、 权 限 与 主机 等 参数 。 
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4: 验 证 过 密码 后 5 分 钟 (默认 值 ) 内 无 须 再 让 用 户 验 证 密码 ， 更 加 的 方便 。 


sudo 命令 的 常用 参数 包括 有 : 
参数 作用 
-h 列 出 帮助 信息 。 
] 列 出 当前 用 户 可 执行 的 命令 。 
-u 用 户 名 或 UID 值 以 指定 的 用 户 身份 执行 命令 。 
-k 清空 安全 时 间 ， 下 次 执行 sudo 时 需要 再 次 密码 验证 。 
b 在 后 全 执行 指定 的 命令 。 
-p 更 改 询问 密码 的 提示 语 。 


只 用 超级 用 户 才 可 以 使 用 visudo 命令 编辑 sudo 程序 的 配置 文件 (etc/sudoers), visudo 命令 的 优势 : 
防止 多 个 用 尸 同时 修改 sudo 配置 文件 。 
对 sudo 程序 配置 文件 的 语法 检查 。 
visudo 会 调用 vi 编辑 性 来 修改 配置 文件 ， 而 如 果 语 法 有 报错 则 会 报错 : 
visudo: >>> /etc/sudoers: syntax error near line 111 ««« 
What now? 
Options are: 
(e)dit sudoers file again 
(x)it without saving changes to sudoers file 
(Q)uit and save changes to sudoers file (DANGER!) 
此 时 可 以 襄 击 ”e 键 “ 来 修正 内 容 ， 散 击 ” 和 键 “直接 退出 不 保存 还 可 散 击 ”Q 键 “ 强 制 保存 退出 (sudo 程序 将 不 
能 被 启动 )。 
实验 环节 一 一 允许 linuxprobe 用 户 执行 所 有 命令 : 
使 用 visudo 命令 编辑 sudo 程序 的 配置 文件 ， 在 第 99 行 添加 参数 允许 linuxprobe 用 户 能 够 从 任意 主机 执行 任意 命 
令 的 参数 。 
格式 为 :允许 使 用 sudo 服务 的 主机 ”以 谁 的 身份 执行 命令 — 具体 可 执行 命令 的 列表 
[root@linuxprobe ~|# visudo 
linuxprobe ALL=(ALL) ALL 
将 上 面 的 配置 文件 保存 退出 后 切换 至 linuxprobe 用 户 : 
[root@linuxprobe ~|# su - linuxprobe 
Last login: Thu Sep 3 15:12:57 CST 2015 on pts/1 
查看 linuxprobe 用 户 可 以 使 用 那些 sudo 执行 的 命令 (此 处 验证 执行 用 户 的 密码 ): 
[linuxprobe@linuxprobe -]$ sudo -l 
[sudo] password for linuxprobe: 
Matching Defaults entries for linuxprobe on this host: 
requiretty, !visiblepw, always set home, env. reset, env keep-" COLORS 
DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR LS. COLORS', env. keep«-" MAIL PS1 
LC IDENTIFICATION LC MEASUREMENT LC. MESSAGES", env. keeps--'LC MONETARY 
LC NAME LC. NUMERIC LC PAPER LC TELEPHONE', env. keep*-"LC. TIME LC. ALL 
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LANGUAGE LINGUAS. XKB. CHARSET XAUTHORITY'", 
secure path-/sbinV/binV/usr/sbin NV /usr/bin 
&  linuxprobe 用 户 能 够 执行 的 命令 有 “所 有 ”: 
User linuxprobe may run the following commands on this host: 
(ALL) ALL 
使 用 1s 命令 查看 /root 目录 内 的 文件 提示 权限 拒绝 : 
[linuxprobeelinuxprobe ~|$ ls /root 
ls: cannot open directory /root: Permission denied 
使 用 sudo 命令 以 root 用 户 身份 执行 则 正常 浏览 ; 
[linuxprobe@linuxprobe ~]$ sudo ls /root 
anaconda-ks.cfg Documents initial-setup-ks.cfg Pictures Templates 
Desktop Downloads Music Public Videos 
实验 环节 一 一 仅 允 许 linuxprobe H È A root 用 户 身份 执行 cat 命令 。 
使 用 visudo 命 令 编 辑 sudo 程 序 的 配置 文件 ,将 前 面 实验 的 参数 删除 (第 99 行 )。 然 后 在 第 112 行 追加 允许 linuxprobe 
用 户 只 能 以 root 用 户 身份 执行 cat 命令 的 参数 : 
[root@linuxprobe ~|# visudo 
linuxprobe ALL=(root) /bin/cat 
切换 至 linuxprobe 用 户 : 
[root@linuxprobe ~|# su - linuxprobe 
Last login: Thu Sep 3 15:51:01 CST 2015 on pts/1 
使 用 cat 命令 查看 密码 文件 后 提示 权限 不 足 : 
linuxprobeelinuxprobe ~|$ cat /etc/shadow 
cat: /etc/shadow: Permission denied 
使 用 sudo 命令 来 运行 cat 命令 后 获得 了 root 权限 后 查看 成 功 : 
[linuxprobeelinuxprobe ~|$ sudo cat /etc/shadow 
root:$6$GV3UVtX4ZGg6ygA6$J9pBuPGUSgZslj83jyoI 7 ThJIa9ZAULku3BcncAYFOOUwk6Sqc4E36MnD 1 hLtIG9Q 
linuxprobe:$6$1aqSJH8ESAKGOp.7 $NojzuWzxwKvgfufCN5CmYTaaMdiYYWDZwgoVOqgx6/K2ZSQUjby3lmkMvD 
LuLIqbkuGsnVp1 w.Z752kvWjHY6/:16626:0:99999:7:: 
实验 环节 一 一 允许 linuxprobe 用 户 以 任意 身份 执行 命令 ， 且 每 次 都 不 需要 密码 验证 。 
使 用 visudo 命令 编辑 sudo 程序 的 配置 文件 ， 将 六 面 实验 的 参数 删除 〈 第 112 £D). 后 在 此 行 追加 下 面 的 参数 
linuxprobe ALLZNOPASSWD: ALL 
切换 至 linuxprobe f P : 
[rootelinuxprobe ~|# su - linuxprobe 
清空 安全 时 间 : 
Last login: Thu Sep 3 15:58:31 CST 2015 on pts/1 
[linuxprobe?linuxprobe -]$ sudo -k 
执行 sudo 后 不 再 需要 密码 验证 : 
[linuxprobeelinuxprobe ~]$ sudo ifconfig 

eno16777728: flags-A4163«UP,BROADCAST,RUNNING,MULTICAST-» mtu 1500 

inet 192.168.10.10 netmask 255.255.255.0 broadcast 192.168.10.255 

inet6 fe80:20c:29ff:fe9c:6373 prefixlen 64 scopeid Ox20«link» 

ether 00:0c:29:9c:63:73 txqueuelen 1000 (Ethernet) 

RX packets 264 bytes 40883 (39.9 KiB) 


RX errors O dropped O overruns 0 frame 0 
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TX packets 31 bytes 4381 (4.2 KiB) 


TX errors 0 dropped O overruns O carrier O collisions O 


lo: flags- 7 3«UP,LOOPBACK,RUNNING- mtu 65536 
inet 127.0.0.1 netmask 255.0.0.0 

inet6 :1 prefixlen 128 scopeid Ox10«host» 

loop txqueuelen O (Local Loopback) 

RX packets 2 bytes 140 (140.0 B) 

RX errors O dropped O overruns 0 frame 0 

TX packets 2 bytes 140 (140.0 B) 


TX errors 0 dropped O overruns O carrier O collisions O 


5.6 文件 访问 控制 列表 

不 知 读者 有 没有 发 现 其 实 上 面 讲 解 的 rwx 权限 、 特 殊 权 限 、 隐 藏 权限 都 是 对 某 一 类 用 户 设 置 的 ， 而 如 果 希 望 对 某 个 
指定 的 用 户 进行 单独 的 权限 设置 ， 那 么 就 需要 用 文件 的 访问 控制 列表 来 实现 啦 。 

我 们 可 以 基于 普通 文件 或 目录 设置 进行 设置 ACL， 通 俗 来 说 ACL 就 是 设置 指定 的 特定 用 户 或 用 户 组 对 茶 个 文件 的 
操作 权限 。 并 且 如 有 果 对 某 个 目录 设置 了 访问 控制 策略 ， 那 么 子 文件 则 继承 其 访问 策略 ， 而 若 对 文件 设置 了 访问 控制 
策略 则 不 再 继承 上 级 目录 的 控制 策略 。 

setfacl 命 令 用 于 增加 或 者 修改 ACL 规则 ， 格 式 为 : ”setfacl [参数 ] 文件 ”。 


参数 作用 

-R 递归 (对 目录 使 用 ) 
-m 设置 文件 的 acl 规则 
-b 删除 acl 规则 


getfacl 命令 用 于 显示 文件 的 ACL 规则 ， 格 式 为 : ”getfacl 文件 ”。 
[root&linuxprobe ~|# getfacl /root 

linuxprobe 用 户 因 工作 的 原因 需要 有 能 读 取 root 家 目录 文件 的 权限 : 
[root@linuxprobe ~|# su - linuxprobe 

Last login: Sat Mar 21 16:31:19 CST 2015 on pts/0 

切换 到 linuxprobe 用 户 : 

[linuxprobeelinuxprobe ~]$ cd /root 

-bash: cd: /root: Permission denied 

尝试 进入 root 用 尸 的 家 目录 失败 了 《当然 进 不 去 啦 ) : 
[linuxprobe@linuxprobe root]$ exit 

返回 到 root 用 户 后 设置 linuxprobe 对 /root # rwx 权限 : 
[rootelinuxprobe ~|# setfacl -Rm u:linuxprobe:rwx /root 

切换 到 linuxprobe 用 户 : 

[root@linuxprobe ~|# su - linuxprobe 

Last login: 5at Mar 21 15:45:03 CST 2015 on pts/1 

成 功 进入 到 /root 目录 : 

Hinuxprobe@linuxprobe ~]$ cd /root 


[linuxprobe@linuxprobe root]$ Is 
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anaconda-ks.cfg Downloads Pictures Public 


读者 们 也 来 试 试看 ， 能 不 能 看 到 该 文件 的 内 容 吧 : 
[linuxprobe@linuxprobe root|$ cat anaconda-ks.cfg 
返回 到 root 用 户 : 
[linuxprobe@linuxprobe root]$ exit 
用 getfacl 看 到 确实 多 了 一 条 user:linuxprobe:rwx: 
[linuxprobe@linuxprobe ~|# getfacl /root 

# file: . 

# owner: root 

# group: root 

USer:r-x 

userlinuxprobe:rwx 

groupzr-x 

mask:rwx 


other:--- 


本 章 结 束 ， 您 可 以 在 此 写 下 笔记 : 
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第 6 章 存储 结构 与 磁盘 划分 。 
章节 简 述 : 
本 章节 从 Linux 系统 的 存储 结构 引入 ， 讲 述 硬盘 存储 结构 、 硬 件 命名 规则 以 及 内 核 Udev 设备 管理 器 服务 。 
让 读者 理解 文件 系统 的 作用 ， 能 够 区 分 ext3,ext4,xfs 有 何不 同 并 学 习 将 硬盘 设备 分 区 、 格 式 化 以 及 挂 载 等 常用 硬盘 
管理 操作 。 
完整 配置 SWAP 交换 分 区 、quota 服务 限制 磁盘 配额 、In 命令 创建 软 / 硬 链接 、RAID 磁盘 阵列 (0、1、5 和 10)、LVM 
X WI. 
631 —WA "/" Fi 
这 是 一 张 在 Windows™ 操 作 系 统 中 文件 的 属性 图 ， 你 能 准确 的 找到 它 吗 ? 


el RHEL-server-7.0-x86 64-LinuxProbe.Com.so 屋 性 


以 前 的 版 本 


HEL-serwer-T.Üü-x8B B4-LinuxFPraobe.Caom.152 





MAF:  GORMBREWPER Cise) 

打开 方式 : [O] Windows 光盘 映像 刻 
位置 : D:*5 &LinuxglimXES BINE 

大 小 : 3.48 GB (3,T43, 416, 320 XT) 


GAZ: — 3.48 GB (3, T43, 416, 320 字 节 ) 


创建 时 间 : ”2015 年 1 月 22 日 ，12:21:55 
修改 时 间 : 2015 年 1 月 22 日 ， 14:59:15 
访问 时 间 : ”2015 年 1 月 22 日 ， 12:21:55 


属性 : Onk DERW 


Erf O 


ZAR AKSARA ERREA “DA” RA " (Linux 就 该 这 么 学 》” 目 录 中 的 “第 一 章 ” 目 录 ， 但 在 类 








Unix 系统 中 并 不 存在 C/D/E/F 扒 符 啊 ， 一 切 的 文件 都 是 从 “ 根 (/)” 目 录 开 始 的 并 按照 文件 系统 目录 标准 FHS 采用 
树 形 结 构 来 存放 文件 并 定义 了 每 个 区 域 的 用 途 。 


根 目 录 / 


| MIENNE 


root /bin /boot /dev ji lhome /var  /lib /usr /media /tmp 


| 


lrootiDesktop  /root'Media .....  ..... lusr/lbin  /usr/lib — ...... 











— 




















目录 名 称 严 格 的 区 分 大 小 写 ， 例 如 root、rOOt、Root、rooT 等 等 均 代 表 是 不 同 的 独立 目录 ， 并 且 名 称 中 不 得 包含 反 
fH). 


Tv 


第 80 页 


主要 常见 的 目录 

目录 名 称 应 放置 文件 的 内 容 

/boot 开机 所 需 文件 一 一 内 核 ,开机 菜单 及 所 需 配 置 文件 等 

/dev 任何 设备 与 接口 都 以 文件 形式 存放 在 此 目录 

/etc 配置 文件 

/home 用 户主 目录 

/bin 单 用 户 维护 模式 下 还 能 够 被 操作 的 命令 

/lib 开机 时 用 到 的 函数 库 及 /bin 与 /sbin 下 面 命 令 要 调用 的 函数 
/sbin 开机 过 程 中 需要 的 

/media 一 般 挂 载 或 删除 的 设 各 

/opt 放置 第 三 方 的 软件 

/root 系统 管理 员 的 主 文件 夹 

/Srv 一 些 网 络 服务 的 数据 目录 

/tmp 任何 人 均 可 使 用 的 “共享 ”临时 目录 

/proc 虚拟 文件 系统 ， 例 如 系统 内 核 ， 进 程 ， 外 部 设备 及 网 络 状 态 等 
/usr/local HA P BIA 

/ usr/sbin 非 系统 开机 时 需要 的 软件 /命令 /脚本 

/usr/share 帮助 与 说 明文 件 ， 也 可 放置 共享 文件 。 

/var 主要 存放 经 常 变化 的 文件 ， 如 日 志 。 

/lost+found 当 文件 系统 发 生 错误 时 ， 将 一 些 丢失 的 文件 片段 存放 在 这 里 


为 外 一 个 重要 的 概念 “路 径 ”， 这 个 路 径 指 的 是 如 何 找 到 茶 个 文件 ， 分 为 “绝对 路 径 ” 与 “相对 路 径 ”: 

绝对 路 径 (absolute): 由 根 目 录 (/) 开 始 写 起 的 目录 或 文件 名 

相对 路 径 (relative): 相 对 于 当前 路 径 的 写法 

举例 来 说 一 个 美国 人 想 找 下 砚 所 ， 你 有 两 种 回答 的 方法 。 

绝对 路 径 : 首先 坐 飞机 来 到 中 国 ， 到 了 北京 出 首都 机 场 做 地 铁 到 十 号 线 潘 家 园 站 ， 出 站 坐 34 路 到 农 光 里 下 车 路 口 左 转 。 
相对 路 径 : 前 面 路 口 左 转 

如 果 你 说 的 是 绝对 路 径 ， 那 么 任何 一 个 外 国人 都 可 以 按照 这 个 提示 找到 布 所 ， 但 缺点 是 过 于 繁琐 ， 如 果 说 的 是 相对 
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路 径 ， 那 么 这 个 美国 人 并 不 是 在 每 个 路 口 左 转 都 能 找到 而 所， 缺点 是 不 具备 普遍 性 。 


6.2 物理 设备 的 命名 规则 

因为 计算 机 中 有 了 硬盘 设备 才 使 得 我 们 游戏 通关 过 后 可 以 保存 记录 而 不 是 再 重新 开始 ， 硬 盘 设 备 则 是 由 大 量 的 “ 遍 
区 ”组 成 的 ， 其 中 第 一 个 局 区 保存 着 主 引 导 记 录 与 分 区 表 信 息 。 单个 局 区 容量 为 512bytes 组 成 ， 主 引导 记录 需要 点 
用 446bytes， 分 区 表 的 为 64bytes， 而 每 记录 一 个 分 区 信息 需要 16bytes， 那 么 问题 来 了 ， 好 像 只 能 记录 4 个 分 
区 信息 ? 


64b 


主 引 导 记 录 ( Master Boot Record ) MBR 





所 以 运 维 人 员 一 般 会 选择 用 3 个 主 分 区 加 1 个 扩展 分 区 的 方法 ， 扩 展 分 区 中 能 够 创建 无 限 个 逻辑 分 区 ， 这 样 我 们 就 
可 以 用 逻辑 分 区 来 满足 多 分 区 的 需求 了 ， 当 然 这 里 大 家 只 需 明 白 为 什么 主 分 区 不 能 超过 4 个 。 


Linux 系统 中 一 切 都 是 文件 ， 那 么 硬件 也 不 外 乎 。 既 然 是 文件 就 必须 有 名 称 啦 ， 系 统 内 核 的 设备 管理 器 (UdewW) 会 自动 
将 硬件 名 称 规范 起 来 ， 让 我 们 可 以 通过 设备 名 称 猜 出 设备 大 致 的 属性 以 及 分 区 信息 等 ，Udev 会 一 直 以 守护 进程 的 形 
式 运行 并 侦 听 来 自 内 核发 出 的 uevent 来 管理 /dev 目录 下 的 设备 文件 。 


Udev 会 根据 内 核发 出 的 uevent 来 动态 添加 或 删除 /dev 目录 中 的 设备 文件 ， 命 名 流程 如 下 : 
















册 除 设备 的 


Uevent 





WIES / dev / BERIVÉ RE 


udevd 从 kernel 
Ae. 


收 到 一 个 设备 的 


vevent 







Bm g Iuevent 







frBOB UC Cudev.con£: 
Beduu5RTEEB3 







AH 
匹配 






在 规则 目录 里 控 
顺序 查询 所 有 规 
则 文件 






在 /asv7 下 用 内 核 设备 名 
称 作 为 设备 文件 。 


iR 
则 





有 匹配 规则 


按照 所 匹配 的 规则 ,在 
Gev/ 下 为 该 谨 备 产生 相 





应 的 设备 文件 
常见 的 硬件 命名 如 下 : 
硬件 设备 文件 名 称 
IDE 设备 /dev/hdla-d| 


SCSI/SATA/U / dev/sd[a-p] 
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软驱 / dev/fd[O-1] 

打印 机 /dev/lp[0-15] 

光驱 /dev/cdrom 

鼠标 /dev/mouse 

磁带 机 /dev/stO 或 /dev/htO(DE 设备 ) 


因为 现在 的 IDE 设备 已 经 很 少见 路 ， 所 以 一 般 硬 盘 设 备 都 会 是 以 “/dev/sd ”开头 的 ， 而 一 合 主机 上 可 以 有 多 块 看 
盘 ， 系 统 便 会 用 ap 来 代表 16 块 不 同 的 硬盘 (默认 从 a 开始 分 配 ) 且 分 区 编号 也 很 有 讲究 。 
主 分 区 编号 从 1 开始 至 4 结 来 ， 按 顺序 〈 也 可 指定 分 配 数字 )。 
慑 辑 分 区 从 编号 5 开始 按 顺 序 (也 可 指定 分 配 数字 )。 
那么 来 分 析 下 ”/dev/sda5“ 代 表 着 什么 硬件 设备 吧 ~ 
hd 表示 IDE 设 备 


所 在 的 目录 sd 表示 SC SI 设备 
/dev/sdao 


分 区 的 顺序 号 ， 以 数字 
1、2、3.-…-. 表 示 











硬盘 的 顺序 号 ， 以 字母 


a. bb、c...... 表 示 





1. 首 先 /dev 目录 下 的 都 是 硬件 。 

2. 其 次 sd 开头 的 是 存储 设备 。 

3. 然 后 a 代表 第 一 个 被 识别 到 的 设备 。 

4. 最 后 5 代表 它 是 逻辑 分 区 。 

简单 来 讲 :“ 这 是 第 一 块 硬盘 设备 中 编号 为 5 的 慑 辑 分 区 ”， 物 理 中 的 存储 会 是 这 样 的 : 


第 一 块 SC SI 硬盘 设备 
Idev/sda 扩展 分 区 
第 2 个 主 分 区 第 1 个 逻辑 分 区 (00 第 2 个 逻辑 分 区 
Idevisda2 [dev/sda5 






第 1 个 主 分 区 
Idevisda1 






Idevisda6 





6.3 文件 系统 与 数据 资料 

文件 ， 而 在 Linux 系统 中 支持 超过 数 十 种 文件 管理 系统 可 供 选 择 ， 常 见 的 如 下 : 

Ext3 是 一 款 日 志文 件 系 统 能 够 在 异常 停机 中 避免 文件 系统 资料 不 一 致 的 情况 ， 自 动 修复 数据 的 不 一 致 与 错误 ， 然 而 
一 般 重 整 文件 系统 相当 耗费 时 间 (尤其 容量 大 的 硬盘 )， 当 然 也 不 能 保证 100% 资 料 不 流失 。 它 将 会 将 整个 磁盘 的 写 
入 动作 预先 记录 下 来 〈 每 个 细节 )， 所 以 在 异常 停机 后 可 以 回溯 追踪 到 被 中 断 的 部 分 。 

Ext4 可 以 成 为 Ext3 的 后 继 版 本 ， 作 为 RHEL6 系统 的 默认 文件 管理 系统 ， 其 支持 更 大 的 文件 系统 到 1EB 
(1EB=1,073,741,824GB 且 能 够 有 无 限 多 的 子 目录 )， 另 外 Ext4 文件 系统 能 够 批量 分 配 block 块 并 作 ”Extents” 极 
大 的 提高 了 读 写 效 率 。 

XFS 作为 RHEL7 默认 的 文件 管理 系统 ， 它 的 日 志 型 文件 管理 系统 的 优势 在 意外 关机 后 尤其 明显 ， 可 以 快速 的 恢复 可 能 
被 破坏 的 文件 , 另外 经 过 优化 后 日 志 功能 对 硬盘 性 能 影响 非常 小 , 同时 最 大 支持 18EB 的 存储 容量 满足 了 几乎 所 有 需求 。 
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讲课 的 时 候 我 喜欢 举 得 一 个 合子， 希望 能 够 帮助 大 家 理解 这 个 概念 。 


“ 当 我 们 拿 到 了 一 张大 白 纸 ， 首 先 为 了 使 用 方便 要 裁剪 ， 然 后 为 了 书写 工整 要 先 画 格 。 
这 里 的 “ 白 纸 ”就 是 原始 的 硬盘 而 “裁剪 ”意味 着 分 区 ， 然 后 的 “ 画 格 ”就 是 格式 化 啦 ， 最 后 写 入 内 容 。 
因为 硬盘 要 保存 的 数据 实在 太 多 了 ， 所 以 一 定 要 有 个 叫 super block 的 “硬盘 地 图 ”并 在 上 面 记 录 着 整个 文件 系统 
的 信息 ， 但 绝 不 可 能 把 数据 直接 写 到 这 个 大 地 图 中 ， 因 为 这 样 的 话 会 导致 它 “ 很 大 ”， 查 询 与 写 入 速度 会 变 得 非常 
慢 ， 于 是 每 个 文件 的 权限 与 属性 都 会 记录 在 inode table 中 (每 个 文件 都 会 占用 一 个 独立 的 inode 表格 ， 默 认为 
128bytes)， 记 录 着 : 

该 文件 的 访问 权限 (read,write,execute) 

该 文件 的 所 属 主 与 组 (owner,group) 

该 文件 的 大 小 (size) 

该 文件 的 创建 或 状态 修改 时 间 (ctime) 

该 文件 的 最 后 一 次 访问 时 间 (atime) 

该 文件 的 修改 时 间 (mtime) 

文件 的 特殊 权限 (SUID,SGID,SBIT) 

该 文件 的 真实 数据 地 址 (point) 
而 实际 的 数据 则 保存 在 block 块 中 (大 小 可 以 是 1K、2K 或 4K)， 下 面 的 说 明 中 ， 我 们 以 AK 为 例 。 
情况 一 : 文件 体积 很 小 (1K)， 那 么 依然 会 占用 一 个 block， 潜 在 的 浪费 3K。 
情况 二 : 文件 体积 很 大 (5K)， 那 么 会 占用 两 个 (5K-4K 剩 下 的 1K 也 要 占用 一 个 block). 
一 个 inode 大 小 仅 为 128bytes (Ext3)， 但 记录 一 个 block 则 消耗 4bytes， 当 写 inode 被 占 满 后 会 取出 一 个 block 
用 于 号 码 记 录 而 不 再 是 保存 实际 的 文件 系统 。2 
6.4 挂 载 硬件 设备 
挂 载 操作 指 的 是 当 用 户 需 要 使 用 硬盘 设备 或 分 区 数据 时 , 需要 先 将 其 与 一 个 已 存在 的 目录 文件 做 关联 , 而 这 个 动作 就 叫 “ 挂 载 ”。 
mount 命令 用 于 挂 载 文件 系统 ， 格 式 为 : “mount 文件 系统 挂 载 目录 ”。 
KERER: "mount /dev/cdrom /media/cdrom" , 








参数 作用 
-a 挂 载 所 有 在 /etc/fstab 中 定义 的 文件 系统 
4t 指定 文件 系统 的 类 型 


如 果 需 要 将 设备 ”/dev/sdb2“ 挂 载 到 ”/backup“ 目 录 ， 文 件 格式 为 ext4， 该 如 何 操作 那 ? 

执行 命令 : mount /dev/sdb2 /backup 

很 惊讶 吗 ?mount 命令 只 需要 填写 设备 与 挂 载 目 录 人 参数 即 可 ， 一 般 来 讲 系统 会 自动 去 判断 要 挂 载 文件 的 类 型 ~ 

使 用 mount 命令 执行 挂 载 操 作 后 立即 就 可 以 使 用 该 文件 系统 了 ， 但 重启 后 则 失效 。 如 果 想 让 重启 后 依然 生效 ， 我 们 
就 必须 将 挂 载 信 息 按 照 指定 的 格式 写 入 到 /etc/fstab 文件 中 。 

“/etc/fstab” 包 含 着 文件 系统 与 挂 载 信 息 等 内 容 ， 因 为 过 于 重要 ， 所 以 只 有 root 用 户 才 可 以 编辑 它 。 

填写 格式 如 下 : “设备 文件 ERER 格式 类 型 权限 选项 自 检 优先 级 ” 





设备 文件 : 一 般 为 设备 的 路 径 + 名 称 ， 也 可 以 写 UUID 值 等 。 

挂 载 目录 : 指定 要 挂 载 到 的 目录 ， 需 挂 载 前 创建 好 。 

格式 类 型 : 即 指定 文件 系统 的 格式 ， 比 如 有 ext3/ext4/xfs/iso9660/swap 等 。 

权限 选项 : 默认 为 defaults(rw,suid,dev,exec,auto,nouser,async)， 可 指定 acl 或 quota 等 。 
自 检 : EX 1 则 开机 后 进行 磁盘 自 检 ，0 为 不 自 检 。 

优先 级 : 者“ 自 检 ”为 1， 则 可 对 多 块 硬盘 进行 优先 级 设置 。 
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定义 设备 ”/dev/sdb2“ 开 机 自动 挂 载 到 ”/backup“ 目 录 ， 文 件 格式 为 ext4， 默 认 权 限 且 无 需 开 机 自 检 、: 
正确 写法 : "/dev/sdb2 /backup ext4 defaults 0 0” 
当 读者 挂 载 光盘 镜像 的 时 候 请 将 文件 类 型 设置 为 iso9660, 其 余 设 备 类 型 请 绪 仓 实际 情况 灵活 使 用 。 
umount 命令 用 于 撤销 已 经 挂 载 的 设备 文件 ， 格 式 为 : “umount [ 挂 载 点 /设备 文件 ]”。 
取消 对 /dev/sdb2 设备 文件 的 挂 载 : 
[rootelinuxprobe ~|# umount /dev/sdb2 
6.5 添加 硬盘 设备 
当 全 新 安装 了 一 其 新 的 硬盘 设备 后 ， 为 了 更 充分 、 安 全 的 利用 硬盘 空间 首先 要 进行 磁盘 的 分 区 ， 然 后 格式 化 ， 最 后 挂 载 使 用 。 
模拟 训练 :对 新 添加 的 硬盘 设备 进行 分 区 、 格 式 化 并 挂 载 到 /newFS 目录 。 

第 1 步 : 在 虚拟 机 中 添加 用 来 做 逻辑 卷 实 验 的 硬盘 。 第 2 步 : 选择 磁 扒 。 
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第 5 步 : 设置 磁盘 的 大 小 。 





盘 文 件 
festa aot ee Mam v ee? 


ENPF) 


将 为 每 2 GB 容 创 淫 一 个 说 盘 文 件 。 陈 第 一 个 文件 之 外 ,每 个 文件 的 文件 
名 均 桂 根据 比 址 文件 名 自动 生成 > 


文件 名 : — GD0gibHERHEL7 xB6 64-0.vmdk | WR).. | 


i fru 





«t-59]( x& J( m4 | 


ai | mms 














第 7 步 : 成 功 添加 的 硬盘 出 现在 列表 中 。 











| 设备 d 磁盘 文件 
man 2 GB ÁLtGA-IEIRRHEL7. x96. 64-0.vmdk 
Kf c]? 口 处 理 田 1 
z2WRCSI) 20 GB zu 
, CASHERLSCSD 20 GB 当前 大 小 : 2.6 MB 
GM HIXSY rd 人 CD/DVD (SATA) 。 正在 全 用 文件 D-MRfB FRHEL-server.... sisse 
笠 对 Red Hat Enterprise Linux 7 64 位 的 建议 大 小 : 20 GB EIE ETE] misit TORTA: 19. 
Buse 控制 器 存在 最 大 大 小 :; 20 GB 
j 立 聊 分 醒 所 有 谱 盘 空间 (A)。 PAE Giba — 
ARRASTRE ORAA ARREA « PORT z IAN je 打印 机 存在 da 
KAZE dele mi D] SUE ODIUM cp Roten TE o ncn ezhan PADHET 
HAERES. 
HETO) Prr HEXRIB 
D fodit p Rog PeUM) s dtu rua Sint e ae jp | 地 时 [NM 
fous. TUREN Wy TAR. BESRA S " 
4 gg o io EHE ADIT iH 
irme. PRE.. | 
Jf freu) - Le 
[< 上 =- 步 B) ] [下 =- 步 )> ] [| ma | pmumUpMRmazH. 其 | ER 
| SR)... 
(Fanm...) | sim | 





第 2 步 :将 新 添加 的 硬盘 进行 分 区 。 
fdisk 命令 用 于 管理 磁盘 分 区 ， 格 式 为 : “fdisk [磁盘 名 称 ]”。 
管理 某 硬盘 的 分 区 :“fdisk /dev/sda" 


参数 作用 

m 查看 全 部 可 用 的 参数 

n 添加 新 的 分 区 

d 删除 茶 个 分 区 信息 

] 列 出 所 有 可 用 的 分 区 类 型 
t 改变 某 个 分 区 的 类 型 

p 查看 分 区 表 信息 

W 保存 并 退出 


q 不 保存 直接 退出 
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使 用 fdisk 命令 对 sdb 硬盘 进行 分 区 : 
[root@linuxprobe ~|# fdisk /dev/sdb 
Welcome to fdisk (util-linux 2.23.2). 
Changes will remain in memory only, until you decide to write them. 
Be careful before using the write command. 
Device does not contain a recognized partition table 
Building a new DOS disklabel with disk identifier Ox47d24a34. 
REFR p 查看 分 区 表 信息 〈 当 前 为 空 ) : 
Command (m for help): p 
Disk /dev/sdb: 21.5 GB, 21474836480 bytes, 41943040 sectors 
Units = sectors of 1 * 512 2 512 bytes 
Sector size (logical/physical): 512 bytes / 512 bytes 
I/O size (minimum/optimal): 512 bytes / 512 bytes 
Disk label type: dos 
Disk identifier: Ox47d24a34 
Device Boot Start End Blocks Id System 
项 击 字符 mn 创建 新 的 分 区 信息 : 
Command (m for help): n 
项 击 字符 p， 这 个 p 代表 是 主 分 区 ，e 为 扩展 分 区 : 
Partition type: 
p primary (0 primary, O extended, 4 free) 
e extended 
Select (default p): p 
Bo 1 代表 分 区 编号 为 1: 
Partition number (1-4, default 1): 1 
磁盘 的 起 始 马 区， 直接 回 车 即 可 : 
First sector (2048-41943039, default 2048): 
键入 +2G， 代 表 该 分 区 的 大 小 为 2G: 
Using default value 2048 
Last sector, +sectors or *size(K,M,C] (2048-41943039, default 41943039): +2G 
Partition 1 of type Linux and of size 2 GiB is set 
再 看 下 分 区 表 信 息 (增加 了 sdbl 分 区 信息 ): 
Command (m for help): p 
Disk /dev/sdb: 21.5 GB, 21474836480 bytes, 41943040 sectors 
Units = sectors of 1 * 512 = 512 bytes 
Sector size (logical/physical): 512 bytes / 512 bytes 
I/O size (minimum/optimal): 512 bytes / 512 bytes 
Disk label type: dos 
Disk identifier: Ox47d24a34 
Device Boot Start End Blocks Id System 
/dev/sdbi 2048 4196351 2097152 83 Linux 
项 击 字符 w， 将 上 述 分 区 信息 保存 : 
Command (m for help): w 


The partition table has been altered! 
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Calling ioctl() to re-read partition table. 

Syncing disks. 
让 内 核 同步 分 区 信息 〈 此 步骤 仅 在 没有 找到 分 区 设备 的 情况 下 才 需 要 执行 ， 非 必要 动作 。) : 
[rootelinuxprobe ~|# partprobe 
第 3 步 :格式 化 为 xfs 文件 系统 。 
在 Linux 系统 中 用 于 格式 化 的 命令 是 mkfs， 它 支持 的 文件 类 型 有 : 
cramfs,ext2,ext3,ext4 fat,msdos,xfs,btrfs,minix,vfat 
使 用 方法 非常 的 简单 : ”mkfs. 文 件 类 型 名 称 “,， 例如 要 格式 分 区 为 ext4， 则 命令 为 ”mkfs.ext4 硬盘 分 区 名 称 “。 
使 用 mkfs.xfs 来 对 /dev/sdb1 进行 格式 化 : 
[root@linuxprobe ~|# mkfs.xfs /dev/sdb1 


第 4 步 :将 硬盘 设备 挂 载 到 /newFS 目录 。 
[rootelinuxprobe ~|# mkdir /newFS 
[root&linuxprobe ~|# mount /dev/sdb1 /newFS/ 
第 5 步 :设置 系统 启动 后 自动 挂 载 该 硬盘 设备 。 
[root@linuxprobe ~|# vim /etc/fstab 

/dev/sdb1 /newFS xfs defaults O 0 

第 6 25: 查看 文件 系统 的 使 用 情况 。 

好 棒 ! 我 们 现在 就 可 以 通过 访问 /newFS 目录 来 使 用 硬盘 资源 啦 ! 田 外 多 教 给 您 几 条 用 于 日 常 了 解 硬盘 使 用 情况 的 命令 : 
df 命令 用 于 查看 挂 载 点 信息 与 磁盘 使 用 量 ， 格 式 为 : “df [选项 ] [文件 ]”。 
查看 挂 载 信息 与 硬盘 使 用 量 :“df -h” 


参数 作用 

E 显示 出 所 有 的 文件 系统 (包括 虚拟 的 ) 
--total 展 出 出 总 体 使 用 量 

-h 更 易 读 的 容量 格式 如 1K,234M,2G… 

i 展示 出 Inode 的 信息 CGU ZEE dE (6 f 8) 
a 显示 出 文件 系统 的 类 型 


查看 到 所 有 已 挂 载 的 挂 载 信息 与 硬盘 使 用 情况 : 
[rootelinuxprobe ~|# df -h 
Filesystem Size Used Avail Use?6 Mounted on 
/ dev/mapper/rhel-root 18G 3.5G 15G 2096 / 
devtmpfs 905M 0 905M 096 /dev 
tmpfs 914M 140K 914M 196 /dev/shm 
tmpfs 914M 8.8M 905M 196 /run 
tmpfs 914M O 914M O% /sys/fs/cgroup 
/dev/srO 3.5G 3.5G 0 100% /media/cdrom 
/dev/sdal 497M 119M 379M 24% /boot 
/dev/sdb1 2.0G 33M 2.0G 2% /newFS 


VN NON 
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du 命令 用 于 查看 磁盘 的 使 用 量 ， 格 式 为 : “du [选项 | [文件 ]”。 


查看 根 目录 中 各 文件 夹 所 占 空间 :du -sh / 
查看 当前 目录 下 各 文件 所 占 空间 :du -sh * 


参数 作用 

a 评估 每 个 文件 而 非 目 录 整 体 占用 量 。 
-C 评估 每 个 文件 并 计算 出 总 占用 量 总 和 。 
-h 更 易 读 的 容量 格式 如 1K,234M,2G… 
-S 仅 显 示 占 用 量 总 和 。 


复制 一 些 文件 到 新 的 分 区 (省 略 部 分 复制 过 程 信息 ) : 
[root&linuxprobe ~|# cp /etc/* /newFS/ 

cp: omitting directory "/etc/abrt' 

cp: omitting directory "/etc/alsa' 

cp: omitting directory  /etc/festival' 

cp: omitting directory "/etc/yum' 

cp: omitting directory "/etc/yum.repos.d' 
查看 到 该 挂 载 目录 的 占用 硬盘 量 : 
[root@linuxprobe ~|# du -sh /newFS/ 
1.3M /newFS/ 


6.6 添加 交换 分 区 
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SWAP 即 交换 分 区 是 一 种 类 似 于 Windows 系统 应 拟 内 存 的 功能 ， 将 一 部 分 硬盘 空间 讶 执 成 内 存 来 使 用 ， 从 而 解决 内 
存 容量 不 足 的 情况 ， 因 为 SWAP 毕 况 是 用 硬盘 资源 虚拟 的 ， 所 以 速度 上 比 真实 物理 内 存 要 慢 很 多 ， 一 般 只 有 当真 实 


物理 内 存 耗 尽 时 才 会 调用 SWAP. 
第 1 步 :在 虚拟 机 中 添加 用 来 做 座 辑 卷 实 验 的 硬盘 。 
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第 3 步 : 选择 磁盘 类 型 。 
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第 5 步 : 设置 磁盘 的 大 小 。 
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mAy 2 GB ATORE lE IBRHEL7. x86. 64-0.vrmdk 
[2 HESS 1 
wm (SCSI) 20 GB zu 
CASHEARLSCST) 20 GB 当前 大 小 : 2.6 MB 
CD/DVD (SATA) 正在 伸 用 文件 DSGRIRARHEL-server.... > f 
a m 系统 可 用 空间 : 48.8 GB 
Srina ERR 最 大 大 小 : 20 GB 
图 US8 控制 器 存在 
$m gihta z 
m TER 存在 "aw 8 
a nd BIMAN STRICTIS: 
gpanumeiss- mm e 
HEXRHIB 
p 
p 
Ires . | 扩展 (E)..。 


SES. 


| BIRR) 


第 2 PRE m NETA E. 

对 新 添加 的 硬盘 设备 分 区 : 

[root@linuxprobe ~|# fdisk /dev/sdb 

Welcome to fdisk (util-linux 2.23.2). 

Changes will remain in memory only, until you decide to write them. 
Be careful before using the write command. 

Device does not contain a recognized partition table 
Building a new DOS disklabel with disk identifier Oxb3d27cel. 
创建 新 的 分 区 信息 : 

Command (m for help): n 

Partition type: 

p primary (0 primary, O extended, 4 free) 

e extended 

类 型 为 主 分 区 : 

Select (default p): p 

4 X X 1. 

Partition number (1-4, default 1): 1 

其 实 局 区 直接 敲 击 回 车 ， 默 认为 2048 即 可 : 

First sector (2048-41943039, default 2048): 

Using default value 2048 

结束 扁 区 部 分 输入 +5G， 设 置 分 区 大 小 为 5G: 

Last sector, +sectors or *size(K,M,C] (2048-41943039, default 41943039): +5G 
Partition 1 of type Linux and of size 5 GiB is set 

修改 分 区 的 类 型 : 

Command (m for help): t 

Selected partition 1 

查看 可 用 的 分 区 类 型 

Hex code (type L to list all codes): L 

输入 82 代表 swap 分 区 : 

Hex code (type L to list all codes): 82 

Changed type of partition Linux to Linux swap / Solaris 


再 次 查看 分 区 表 信 息 (已 有 分 区 信息 ): 
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Command (m for help): p 
Disk /dev/sdb: 21.5 GB, 21474836480 bytes, 41943040 sectors 
Units = sectors of 1 * 512 2 512 bytes 
Sector size (logical/physical): 512 bytes / 512 bytes 
I/O size (minimum/optimal): 512 bytes / 512 bytes 
Disk label type: dos 
Disk identifier: Oxb3d27cel 
Device Boot Start End Blocks Id System 
/dev/sdb1 2048 10487807 5242880 82 Linux swap / Solaris 
保存 分 区 表 的 设置 : 
Command (m for help): w 
The partition table has been altered! 
Calling ioctl() to re-read partition table. 


Syncing disks. 


让 内 核 同步 分 区 信息 〈 此 步骤 仅 在 没有 找到 分 区 设备 的 情况 下 才 需 要 执行 ， 非 必要 动作 。) : 
[root@linuxprobe ~|# partprobe 

将 sdbl 分 区 设备 格式 化 为 swap 类 型 : 

[root@linuxprobe -]* mkswap /dev/sdb1 

Setting up swapspace version 1, size = 5242876 KiB 

no label, UUID=2972f9cb-17f0-4113-84c6-c64b97c40c75 
查看 当前 的 内 存 使 用 量 情况 ，SWAP 大 小 为 2047: 
[root@linuxprobe ~|# free -m 

total used free shared buffers cached 

Mem: 1483 782 701 9 0 254 

-/+ buffers/cache: 526 957 

Swap: 2047 O 2047 

将 sdbl 的 SWAP 分 区 启用 : 

[root@linuxprobe ~|# swapon /dev/sdb1 

再 次 查看 当前 系统 的 内 存 使 用 量 情 况 (此 时 SWAP X 7167m): 
[root@linuxprobe ~|# free -m 

total used free shared buffers cached 

Mem: 1483 785 697 9 0 254 

-/ * buffers/cache: 530 953 

Swap: 7167 O 7167 

设置 为 开机 后 自动 挂 载 该 SWAP 分 区 设备 : 
[root@linuxprobe ~|# vim /etc/fstab 

/dev/sdb1l swap swap defaults O O 


6.7 磁盘 宛 余 阵 列 
1988 年 由 加 利 福 尼 亚 大 学 伯克利 分 校 发 表 的 文章 首次 提 到 并 定义 了 RAID, 当今 CPU 性 能 每 年 可 提升 30%-50% 但 硬盘 仅 
提升 7%， 渐 渐 的 已 经 成 为 计算 机 整体 性 能 的 瓶颈 ， 并 且 为 了 避免 硬盘 的 突然 损坏 导致 数据 丢失 还 加 入 了 元 余 备 份 机 制 。 
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RAID 的 早先 设计 理念 为 ”redundant array of Inexpensive disks“ 即 不 贵 的 硬盘 组 ， 而 现在 的 定义 是 ”Redundant 
Array ofIndependent Disks“ 即 独立 的 硬盘 组 ， 作 用 是 防止 硬盘 物理 损坏 以 及 增加 存储 设备 的 吞吐 量 。RAID 常见 
的 组 合 有 0、1、5 和 10: 
RAIDO: 需 要 至 少 两 块 ( 含 ) 硬 盘 ， 可 以 有 效 的 提高 硬盘 的 性 能 和 各 吞吐 量 ， 但 没有 数据 的 宛 余 和 错误 修复 能 力 。 


RAID 0 


striping 





将 多 块 硬盘 通过 硬件 或 软件 的 方式 串联 在 一 起 ， 成 为 一 个 大 的 卷 集 ， 将 数据 依次 写 入 到 各 个 硬盘 中 ， 这 样 性 能 会 极 大 
提升 ， 但 老 任 意 一 块 硬盘 故障 则 你 个 系统 的 数据 都 会 受到 破坏 。 
RAID1: 需 要 至 少 两 块 ( 含 ) 硬 盘 ， 可 以 有 效 的 提高 数据 资料 的 安全 性 和 可 修复 性 ， 但 成 本 却 提 高 了 。 


RAID 1 


mirroring 





KAREE BC AE E RE A P RA E GR EE ERARA, ET ERU Re BS EDA T A IE PUE A 
据 资料 的 可 靠 性 ， 只 要 在 一 对 镜像 盘 中 还 有 一 块 硬盘 可 以 使 用 ， 那 么 数据 也 不 会 丢失 ， 具 有 很 好 的 硬盘 元 余 能 力 ， 虽 
然 对 数据 来 讲 绝对 的 安全 ， 但 成 本 却 明 显 增 加 ， 磁 盘 利 用 率 仅 为 50%。 
RAID5: 需 要 至 少 三 块 ( 含 ) 硬 盘 ， 兼 顾 存 储 性 能 、 数 据 安 全 和 储存 成 本 。 


RAID 5 


parity across disks 





如 上 图 所 示 ”Pparity” 块 中 保存 的 是 其 他 硬盘 数据 的 奇偶 校 验 信息 〈 并 非 其 他 硬盘 的 数据 )， 以 数据 的 奇偶 校 验 信息 
来 保证 数据 的 安全 ，RAID5 不 以 单独 的 硬盘 来 存放 数据 的 奇偶 校 验 信息 ， 而 是 保存 在 各 个 磁 玲 上 。 
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这 样 当 任何 一 个 硬盘 损坏 都 可 以 根据 其 他 硬盘 上 的 奇偶 校 验 信 息 来 党 试 重建 损坏 的 数据 ， 性 能 也 很 高 ， 兼 顾 了 存储 
性 能 、 数 据 安 全 和 存储 成 本 ， 可 以 看 作 是 RAIDO 5 RAIDI 的 折 中 方案 。 
RAID10: 需 要 至 少 四 块 Q) 硬盘 ， 兼 其 速度 和 安全 性 ， 但 成 本 很 高 。 


RAID 10 
RAID O 
RAID 1 RAID 1 


继承 了 RAIDO 的 快速 与 RAID1 的 安全 ，RAID1 在 这 里 提供 了 元 余 备 份 的 阵列 ， 而 RAIDO 则 负责 数据 的 读 写 阵列 。 

因 这 种 结构 的 成 本 高 ， 一 般 用 于 存放 要 求 速度 与 差错 控制 的 数据 。 

mdadm 命令 用 于 管理 系统 软件 RAID 硬盘 阵列 , 格式 为 :”mdadm [模式 | <RAID 设备 名 称 > [选项 ] [成 员 设 备 名 称 ]”。 
mdadm 管理 RAID 阵列 的 动作 有 : 


A 作用 

Assemble 将 设备 加 入 到 以 前 定义 的 阵列 

Build 创建 一 个 没有 超级 块 的 阵列 

Create 创建 一 个 新 的 阵列 ， 每 个 设备 具有 超级 块 。 
Manage 管理 阵列 (如 添加 和 删除 )。 

Misc 允许 单独 对 阵列 中 的 菜 个 设备 进行 操作 (如 停止 阵列 )。 
Follow or Monitor 监控 状态 。 

Grow 改变 阵列 的 容量 或 设备 数目 。 
mdadm 管理 RAID 阵列 的 参数 有 : 

参数 作用 

-a 检测 设备 名 称 

n 指定 设备 数量 


| 指定 raid 级 别 
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ay 显示 过 程 
E 模拟 设备 损坏 


zi 移 除 设备 
us 添加 设备 
-Q 查看 摘要 信息 
-D 查看 详细 信息 


ES 停止 阵列 


模拟 训练 :RAID10 配置 流程 : 
第 1 步 :在 虚拟 机 中 再 添加 4 块 硬盘 : 


虚拟 机 设置 
















硬件 | 选项 | 








设备 nE jid 

^ "^ ppp 268 7 7700] 指定 分 本 给 此 虚拟 机 的 内 存量 。 内 存 大 小 必须 为 4 MB 
[3 处 理 器 "RD ORDER ANC 4 — A — ED 的 倍数 o 

RERI aian 此 虚 氢 机 的 内 存 (M): 2048$] MB 


Aag 2(SCSI) 20 GB 
E23 (SCSI) 20 GB 
E24 (SCSI) 20 GB 3GB 





AW S(SCSD 20 GB 28 O 4 
*  CD/DVD (SATA D: NB B RHEL-server-.... 
和 Pi i TERRE m 1e -| 43 四 最 大 建议 内 存 
- p (超出 此 大 小 可 能 
L Tb 自动 检测 512 MB YEA.) 
256 MB 6280 MB 
e— 8 建议 内 存 
64MB 2048 MB 
32M8 " 
C 建议 的 最 小 客户 机 操作 系统 内 存 
16 MB 1024 MB 
8 MB 
4MB 


A 必须 先 关闭 虚 拟 机 ， 才 能 降低 内 存量 。 











D 虚 以 机 最 多 将 此 内 存 的 768 MB 用 作 图 形 内 存 。 您 可 以 
在 显示 器 设置 页 面 中 更 改 此 数量 。 






(Fima) [EC 








取消 





第 2 步 :使 用 mdadm 命令 创建 RAID10, 名 称 为 ”/dev/md0”。 
-C 代表 创建 操作 ，-v 显示 创建 过 程 ，-a yes 检查 RAD 名 称 ，-n 是 用 到 的 硬盘 个 数 ，-| 是 定义 RAID 的 级 别 而 后 面 写 
上 要 加 入 阵列 的 硬盘 名 称 。 
[root@linuxprobe ~|#mdadm -Cv /dev/md0O -a yes -n 4 -1 10 /dev/sdb /dev/sdc /dev/sdd /dev/sde 
mdadm: layout defaults to n2 
mdadm: layout defaults to n2 
mdadm: chunk size defaults to 512K 
mdadm: size set to 20954624K 
mdadm: Defaulting to version 1.2 metadata 


mdadm: array /dev/md0O started. 
第 3 步 :格式 化 并 挂 载 使 用 
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将 RAID 磁盘 阵列 格式 化 为 ext4 格式 : 
[root@linuxprobe ~|# mkfs.ext4 /dev/mdO 
mke2fs 1.42.9 (28-Dec-2013) 
Filesystem label- 
OS type: Linux 
Block size-4096 (log-2) 
Fragment size-4096 (log-2) 
Stride=128 blocks, Stripe width=256 blocks 
2621440 inodes, 10477312 blocks 
523865 blocks (5.0096) reserved for the super user 
First data block=0 
Maximum filesystem blocks-2157969408 
320 block groups 
321168 blocks per group, 32768 fragments per group 
8192 inodes per group 
superblock backups stored on blocks: 
32768, 98304, 163840, 229376, 294912, 819200, 884736, 1605632, 2654208, 
4096000, 7962624 
Allocating group tables: done 
Writing inode tables: done 
Creating journal (32768 blocks): done 
Writing superblocks and filesystem accounting information: done 
创建 挂 载 目 录 : 
[root@linuxprobe ~|# mkdir /RAID 
进行 文件 系统 的 挂 载 : 
[root@linuxprobe ~|# mount /dev/mdO /RAID 
查看 磁 一 挂 载 信息 : 
[rootelinuxprobe ~|# df -h 
Filesystem Size Used Avail Use?6 Mounted on 
/ dev/mapper/rhel-root 18G 3.0G 15G 1796 / 
devtmpfs 905M 0 905M 096 /dev 
tmpfs 914M 84K 914M 196 /dev/shm 
tmpfs 914M 8.9M 905M 196 /run 
tmpfs 914M O 914M O% /sys/fs/cgroup 
/dev/srO 3.5G 3.5G 0 100% /media/cdrom 
/dev/sdal 497M 119M 379M 24% /boot 
/dev/mdO 40G 49M 38G 1% /RAID 
将 此 磁盘 阵列 挂 载 信 息 设 置 为 重启 后 也 依然 生效 : 
[rootelinuxprobe ~|# echo "/dev/mdO0 /RAID ext4 defaults O O" >> /etc/fstab 
第 4 步 :查看 /dev/md0 设备 信息 
参数 -D 查看 RAID 阵列 的 详细 信息 : 
[root@linuxprobe ~|# mdadm -D /dev/mdO 
/dev/ md0: 


Version : 1.2 
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Creation Time : Tue May 5 07:43:26 2015 

Raid Level : raid10 

Array Size : 41909248 (39.97 GiB 42.92 GB) 

Used Dev Size : 20954624 (19.98 GiB 21.46 GB) 

Raid Devices : 4 

Total Devices : 4 

Persistence : Superblock is persistent 

Update Time : Tue May 5 07:46:59 2015 

state : clean 

Active Devices : 4 

Working Devices : 4 

Failed Devices : O 

Spare Devices : O 

Layout : near-2 

Chunk Size : 512K 

Name : localhost.localdomain:O (local to host localhost.localdomain) 

UUID : cc9a87d4:1e89e175:5383e1e8:a78ec62c 

Events : 17 

Number Major Minor RaidDevice State 

O 8 16 0 active sync /dev/sdb 

1 8 32 1 active sync /dev/sdc 

2 8 48 2 active sync /dev/sdd 

3 8 64 3 active sync /dev/sde 
第 5 步 :模拟 有 1 块 硬盘 损坏 的 情况 
使 用 mdadm 的 地 参数 将 /dev/sdp 移出 阵列 : 
[root@linuxprobe ~|# mdadm /dev/ mdo -f /dev/sdb 
mdadm: set /dev/sdb faulty in /dev/mdO 
再 看 下 阵列 的 状态 (此 时 的 /dev/sdb 状态 被 是 移 除 ， 失 败 状 态 ) : 
[root@linuxprobe ~|# mdadm -D /dev/mdO 

/dev/ md0: 

Version : 1.2 

Creation Time : Fri May 8 08:11:00 2015 

Raid Level : raid10 

Array Size : 41909248 (39.97 GiB 42.92 GB) 

Used Dev Size : 20954624 (19.98 GiB 21.46 GB) 

Raid Devices : 4 

Total Devices : 4 

Persistence : Superblock is persistent 

Update Time : Fri May 8 08:27:18 2015 

state : clean, degraded 

Active Devices : 3 

Working Devices : 3 

Failed Devices : 1 


Spare Devices : O 
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Layout : near-2 
Chunk Size : 512K 
Name : linuxprobe.com:O (local to host linuxprobe.com) 
UUID : f2993bbd:99c1eb63:bd61d4d4:3f06c3bO 
Events : 21 
Number Major Minor RaidDevice State 
O O 0 O removed 
1 8 32 1 active sync /dev/sdc 
2 8 48 2 active sync /dev/sdd 
3 8 64 3 active sync /dev/sde 
O 8 16 - faulty /dev/sdb 
第 6 PMA Ja TCI OE 8 E 
因为 RAID10 级 别 能 够 允许 一 组 RAID1 硬盘 中 存在 一 个 故障 盘 而 不 影响 使 用 ， 所 以 依然 可 以 正常 的 创建 或 删除 文件 ~ 
现在 就 把 新 的 硬盘 添加 进去 吧 ,， 当然 也 可 以 让 硬盘 sdb 恢复 使 用 :请 重 尼 后 执行 “mdadm /dev/md0 -a /dev/sdb" . 
第 7 步 :设置 元 余 备 份 磁盘 
现在 发 现 了 一 个 问题 没 ? 和 运 维 人 员 需 要 在 硬盘 硬件 出 现 故 障 后 手工 添加 新 的 磁盘 进去 ， 这 样 会 不 会 比较 不 方便 ? 
假如 初始 化 RAID5 阵列 时 直接 给 予 4 块 硬盘 , 其 中 1 块 硬盘 设备 用 于 在 阵列 某 块 磁盘 故障 时 自动 的 蔡 换 上 去 , 这 样 很 棒 吧 ! 
先 将 磁盘 系统 印 载 : 
[rootelinuxprobe ~|# umount /dev/mdO 
停止 该 阵列 设备 ， 彻 底 的 停 用 : 
[root@linuxprobe ~|# mdadm -S /dev/mdO 
mdadm: stopped /dev/mdO 
现在 该 阵列 已 经 找 不 到 了 : 
[rootelinuxprobe ~|# mdadm -D /dev/mdO 
mdadm: cannot open /dev/mdo: No such file or directory 
创建 RAID5 并 设置 1 9&4 D CER: 
[rootelinuxprobe ~|# mdadm -Cv /dev/md0 -n 3 -1 5 -x 1 /dev/sdb /dev/sdc /dev/sdd /dev/sde 
mdadm: layout defaults to left-symmetric 
mdadm: layout defaults to left-symmetric 
mdadm: chunk size defaults to 512K 
mdadm: /dev/sdb appears to be part of a raid array: 
level-raid10 devices-4 ctime-Fri May 8 08:11:00 2015 
mdadm: /dev/sdc appears to be part of a raid array: 
level-raid10 devices-4 ctime-Fri May 8 08:11:00 2015 
mdadm: /dev/sdd appears to be part of a raid array: 
level-raid10 devices-4 ctime-Fri May 8 08:11:00 2015 
mdadm: /dev/sde appears to be part of a raid array: 
level-raid10 devices-4 ctime-Fri May 8 08:11:00 2015 
mdadm: size set to 20954624K 
此 处 需要 输入 y， 确 认 创 建 这 个 阵列 : 
Continue creating array? y 
mdadm: Defaulting to version 1.2 metadata 
mdadm: array /dev/md0O started. 
查看 下 阵列 的 详细 信息 (Spare Devices 数量 为 1): 


(Linux LZ XX 4A 5$) 
[rootelinuxprobe ~|# mdadm -D /dev/mdO 
/dev/ md0: 
Version : 1.2 
Creation Time : Fri May 8 09:20:35 2015 
Raid Level : raid5 
Array Size : 41909248 (39.97 GiB 42.92 GB) 
Used Dev Size : 20954624 (19.98 GiB 21.46 GB) 
Raid Devices : 3 
Total Devices : 4 
Persistence : Superblock is persistent 
Update Time : Fri May 8 09:22:22 2015 
State : clean 
Active Devices : 3 
Working Devices : 4 
Failed Devices : O 
Spare Devices : 1 
Layout : left-symmetric 
Chunk Size : 512K 
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Name : linuxprobe.com:O (local to host linuxprobe.com) 


UUID : 44b1a152:3f11809d3:14234916:4ac 70481 
Events : 18 

Number Major Minor RaidDevice State 

O 8 16 0 active sync /dev/sdb 

1 8 32 1 active sync /dev/sdc 

4 8 48 2 active sync /dev/sdd 

3 8 64 - spare /dev/sde 

将 磁盘 阵列 格式 化 为 ext4 系统 : 

[root@linuxprobe ~|# mkfs.ext4 /dev/mdO 

mke2fs 1.42.9 (28-Dec-2013) 

Filesystem label- 

OS type: Linux 

Block size-4096 (log-2) 

Fragment size-4096 (log-2) 

Stride=128 blocks, Stripe width=256 blocks 
2621440 inodes, 10477312 blocks 

523865 blocks (5.0096) reserved for the super user 
First data block=0 

Maximum filesystem blocks-2157969408 

320 block groups 


32768 blocks per group, 32768 fragments per group 


8192 inodes per group 
superblock backups stored on blocks: 


32168, 98304, 163840, 229376, 294912, 819200, 884736, 1605632, 2654208, 


4096000, 7962624 
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Allocating group tables: done 
Writing inode tables: done 
Creating journal (32768 blocks): done 
Writing superblocks and filesystem accounting information: done 
因为 前 面 设置 过 fstab 文件 ， 所 以 现在 可 以 直接 给 挂 载 : 
[rootelinuxprobe ~|# mount -a 
将 /dev/sdb 设备 设置 为 故障 并 移出 阵列 : 
[root@linuxprobe ~|# mdadm /dev/ mdo -f /dev/sdb 
mdadm: set /dev/sdb faulty in /dev/mdO 
再 来 看 下 阵列 的 详细 信息 (此 时 硬盘 sde E SUUS EX T): 
[root@linuxprobe ~|# mdadm -D /dev/mdO 
/dev/ md0: 
Version : 1.2 
Creation Time : Fri May 8 09:20:35 2015 
Raid Level : raid5 
Array Size : 41909248 (39.97 GiB 42.92 GB) 
Used Dev Size : 20954624 (19.98 GiB 21.46 GB) 
Raid Devices : 3 
Total Devices : 4 
Persistence : Superblock is persistent 
Update Time : Fri May 8 09:23:51 2015 
State : active, degraded, recovering 
Active Devices : 2 
Working Devices : 3 
Failed Devices : 1 
Spare Devices : 1 
Layout : left-symmetric 
Chunk Size : 512K 
Rebuild Status : 096 complete 
Name : linuxprobe.com:O (local to host linuxprobe.com) 
UUID : 44b1a152:3f11809d3:14234916:4ac 70481 
Events : 21 
Number Major Minor RaidDevice State 
3 8 64 0 spare rebuilding /dev/sde 
1 8 32 1 active sync /dev/sdc 
4 8 48 2 active sync /dev/sdd 
O 8 16 - faulty /dev/sdb 


6.8 3E EUG E EE dE 

当 用 户 根据 实际 情况 需要 对 分 区 增加 、 减 小 等 调整 时 ， 经 常会 受到 硬盘 “灵活 性 ”的 限制 ， 很 不 方便 。 

最 辑 卷 管理 器 则 是 在 磁盘 分 区 与 文件 系统 之 间 添 加 的 鸭 辑 层 ， 提 供 一 个 抽象 的 卷 组 ， 使 得 管理 者 可 以 忽略 底层 磁盘 布局 ， 从 
而 实现 对 分 区 的 灵活 动态 调整 ， 这 毫 不 夸张 ， 所 以 红 帽 RHEL7 系统 已 经 默认 启用 了 LVM(Logical Volume Manager) 机制。 
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VG (3B) 
PV CHEE) PV CHRE) 


23 3 l3 …… z3 33 ^ a3 33 o PE 是 PE 
[| | | -| L | | | 
[| i ee 


物理 卷 (PV,Physical Volume): ”整个 硬盘 设备 或 使 用 fdisk 命令 建立 的 硬盘 分 区 。 

卷 组 (VG,Volume Group) : 由 一 个 或 多 个 物理 卷 (PV) 组 成 的 整体 

i3 (LV,Logical Volume)  : 从 卷 组 (VG) 出 切割 出 的 空间 来 用 于 创建 文件 系统 ， 大 小 由 PE 的 个 数 决定 。 
基本 单元 (PEPhysical Extent) 默认 为 4MB 的 基本 块 。 








功能 /命令 物理 卷 管理 卷 组 管理 3g pe 3E 


扫描 pvscan vgscan lvscan 
建立 pvcreate vgcreate lvcreate 
显示 pvdisplay vgdisplay Ivdisplay 
删除 pvremove vgremove Ivremove 
扩展 vgextend lvextend 


模拟 训练 A: 创 建 一 个 容量 为 150M HEHE vo, WALAY XFS 并 挂 载 到 /mnt/xfs。 
第 1 步 :在 虚拟 机 中 添加 1 块 用 来 做 逻辑 卷 实 验 的 硬盘 第 2 步 : siu. 


| XH) On Somos 无 明基 | 
x 
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闪存。 您 可 以 
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5 325: 选择 磁盘 类 型 。 
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第 4 步 : 选择 创建 新 的 磁盘 。 





V) 
虚 氢 环 双 由 主办 文件 系统 上 的 一 个 或 圭 个 交 件 组 成 ， 吝 户 机 操作 系统 会 桨 矢 视 为 单 
^ PRASTARA EN Ie ER iih 


O gnmdioiaaE) 
AELUIURTS IE EORR 7 ER REAL e 
o tenimtlit& GERIT RR PDC) | 
3 Lom ode UR PS BOIS iS] 6 M IR HTR o 系统 内 存 


AO) 


STREE. AEE SS 








内 存 。 您 可 以 





Vs « 您 可 以 








ED Fm A 
EI 
第 5 步 : 设置 磁盘 的 大 小 。 

















[Sis] ems 
第 6 步 : 软 认 的 磁盘 名 称 即 可 。 














Tou PE 
frein ao te M a ee? 





Beati X) BG): 20.0 i 
PH Red Hat Enterprise Linux 7 64 位 Bl iiec]: 20 GB 


ig sre) 


BAS 2 68 ON RRORE ARRIM. HR INA SARN 
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第 7 步 : 成 功 添加 的 硬盘 出 现在 列表 中 。 








Max — ——3— 
mirum 2 GB SIEG IHBRHEL7 x86 64-0.vrndk 
口 处 理 加 1 
CWASCSI) 20 GB zg 
OAA 人 DARE RHEL-server- SMAA: 2698 
DRMR TEE ”| 利和 可 用 空 闻 : 48.868 
Quse 控制 器 存在 Bekk): 20 GB 
i 存在 iiam 
anra 自动 检 到 RAWHA. 

硬盘 内 容 存储 在 等 个 文件 中 。 

磁盘 实用 工具 


udorudemriscpee. dp | meon. -— 
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第 2 步 :创建 一 个 大 小 为 300M 的 分 区 (sdb1), 标 签 为 Ivm: 
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对 硬盘 sdb 进行 分 区 : 
[root@linuxprobe ~|# fdisk /dev/sdb 
Device does not contain a recognized partition table 
创建 新 的 分 区 : 
Command (m for help): n 
类 型 为 主 分 区 : 
Partition type: 
p primary (O0 primary, O extended, 4 free) 
e extended 
Select (default p): p 
A SAI: 
Partition number (1-4, default 1): 1 
直接 写 “+300M” 即 可 生成 大 小 为 300M 的 分 区 : 
First sector (2048-41943039, default 2048): 
Using default value 2048 
Last sector, +sectors or *size(K,M,G] (2048-41943039, default 41943039): +300M 
Partition 1 of type Linux and of size 300 MiB is set 
查看 下 分 区 信息 : 
Command (m for help): p 
Device Boot Start End Blocks Id System 
/dev/sdb1 2048 616447 307200 83 Linux 
修改 分 区 类 型 : 
Command (m for help): t 
Selected partition 1 
修改 分 区 类 型 为 Ivm (REA Æ 8e): 
Hex code (type L to list all codes): 8e 
Changed type of partition Linux to Linux LVM' 
再 看 下 分 区 信息 : 
Command (m for help): p 
Device Boot Start End Blocks Id System 
/dev/sdb1 2048 309247 153600 8e Linux LVM 
确认 无 误 ， 写 入 分 区 表 信 息 : 
Command (m for help): w 
The partition table has been altered! 
Calling ioctl() to re-read partition table. 
Syncing disks. 
让 内 核 同步 分 区 信息 〈 此 步骤 仅 在 没有 找到 分 区 设备 的 情况 下 才 需 要 执行 ， 非 必要 动作 。) : 
[rootelinuxprobe ~|# partprobe 
第 3 步 : 启 用 LVM 并 创建 vo XE 5838 248 S46 ext4 格式 
将 新 建 的 分 区 设置 为 物理 卷 : 
[root@linuxprobe ~|# pvcreate /dev/sdb1 
Physical volume "/dev/sdb1" successfully created 
将 物理 卷 加 入 卷 组 : 
[root@linuxprobe ~|# vgcreate rhcsa /dev/sdb1 
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Volume group 'rhcsa" successfully created 

查看 卷 组 信息 : 

[root@linuxprobe ~|# vgdisplay 

--- Volume group --- 

VG Size 296.00 MiB 

PE Size 4.00 MiB 

Total PE 74 

Alloc PE / Size O / O 

Free PE / Size 74 / 296.00 MiB 

VG UUID ShLPQU-Tc6f-PMsa-4tq5-iTOp-vSbI-sOafqG 
生成 大 小 为 37 个 PE WEHE (37* AMIB 为 148M): 
[root@linuxprobe ~|# lvcreate -n vo -1 37 rhcsa 

Logical volume "vo" created 

格式 化 为 ext4: 

[rootelinuxprobe ~|# mkfs.ext4 /dev/rhcsa/vo 

Writing superblocks and filesystem accounting information: done 
创建 一 个 名 为 /rhcsa 的 目录 用 于 挂 载 该 次 辑 卷 。 

[root@linuxprobe ~|# mkdir /rhcsa 

EA Uu: 

[rootelinuxprobe ~|# mount /dev/rhcsa/vo /rhcsa 

查看 挂 载 信息 Ghcsa-vo 为 140M 是 合理 取 值 ) : 
[rootelinuxprobe ~|# df -h 

Filesystem Size Used Avail Use% Mounted on 

/ dev/mapper/rhel-root 18G 3.0G 15G 1796 / 

devtmpfs 905M 0 905M 0% /dev 

tmpfs 914M 140K 914M 196 /dev/shm 

tmpfs 914M 8.9M 905M 1% /run 

tmpfs 914M O 914M O% /sys/fs/cgroup 

/dev/sdal 497M 119M 379M 24% /boot 

/dev/srO 3.5G 3.5G O 10096 /run/media/root/RHEL-7.0 Server.x86_64 
/dev/mapper/rhcsa-vo 140M 1.6M 128M 2% /rhcsa 

模拟 训练 B: 将 上 个 实验 中 的 逻辑 卷 vo 容量 扩展 到 290M. 
若 要 对 LVM 进行 调整 ， 一 定 要 先 缉 载 : 

[root@linuxprobe ~|# umount /rhcsa 

将 逻辑 卷 扩 展 到 290M: 

[root@linuxprobe ~|# lvextend -L 290M /dev/rhcsa/vo 
Rounding size to boundary between physical extents: 292.00 MiB 
Extending logical volume vo to 292.00 MiB 

Logical volume vo successfully resized 

检查 磁盘 完整 性 ， 重 置 硬盘 容量 : 

[rootelinuxprobe ~|# e2fsck -f /dev/rhcsa/vo 

/dev/rhcsa/vo: 11/38000 files (0.096 non-contiguous), 10453/151552 blocks 
[rootelinuxprobe ~|# resize2fs /dev/rhcsa/vo 

Resizing the filesystem on /dev/rhcsa/vo to 299008 (1k) blocks. 


第 104 页 
(Linux 就 该 这 么 学 》 HTTP://www.linuxprobe.com 
The filesystem on /dev/rhcsa/vo is now 299008 blocks long. 
重新 挂 载 硬盘 设备 : 
[rootelinuxprobe ~|# mount /dev/rhcsa/vo /rhcsa 
看 到 挂 载 信息 (当前 逻辑 卷 大 小 已 为 279M): 
[root@linuxprobe ~|# df -h 
Filesystem Size Used Avail Use% Mounted on 
/dev/mapper/rhel-root 18G 3.0G 15G 17%/ 
devtmpfs 905M 0 905M 0% /dev 
tmpfs 914M 140K 914M 1% /dev/shm 
tmpfs 914M 8.9M 905M 1% /run 
tmpfs 914M O 914M O% /sys/fs/cgroup 
/dev/sdal 497M 119M 379M 24% /boot 
/dev/srO 3.5G 3.5G O 10096 /run/media/root/RHEL-7.0 Server.x86_64 
/ dev/mapper/rhcsa-vo 279M 2.1M 259M 1% /rhcsa 
模拟 训练 C: 将 上 个 实验 中 的 逻辑 卷 vo 容量 减 小 到 120M. 
ERAR A: 
[root@linuxprobe ~|# umount /rhcsa 
检查 文件 系统 的 完整 性 : 
[rootelinuxprobe ~|# e2fsck -f /dev/rhcsa/vo 
e2fsck 1.42.9 (28-Dec-2013) 
Pass 1: Checking inodes, blocks, and sizes 
Pass 2: Checking directory structure 
Pass 3: Checking directory connectivity 
Pass 4: Checking reference counts 
Pass 5: Checking group summary information 
/dev/rhcsa/vo: 11/74000 files (0.096 non-contiguous), 15507/299008 blocks 
将 逻辑 卷 的 减 小 到 120M: 
[root@linuxprobe ~|# resize2fs /dev/rhcsa/vo 120M 
resize2fs 1.42.9 (28-Dec-2013) 
Resizing the filesystem on /dev/rhcsa/vo to 122880 (1k) blocks. 
The filesystem on /dev/rhcsa/vo is now 122880 blocks long. 
使 用 Ivreduce 命令 将 文件 系统 调整 为 120M: 
[root@linuxprobe ~|# lvreduce -L 120M /dev/rhcsa/vo 
WARNING: Reducing active logical volume to 120.00 MiB 
THIS MAY DESTROY YOUR DATA (filesystem etc.) 
Do you really want to reduce vo? [y/n]: y 
Reducing logical volume vo to 120.00 MiB 
Logical volume vo successfully resized 
重新 挂 载 文件 系统 : 
[rootelinuxprobe ~|# mount /dev/rhcsa/vo /rhcsa 
查看 挂 载 信息 ， QETCS LA 113M): 
[rootelinuxprobe ~|# df -h 
Filesystem Size Used Avail Use% Mounted on 
/ dev/mapper/rhel-root 18G 3.7G 14G 2196 / 
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devtmpfs 734M 0 734M 096 /dev 
tmpfs 742M 140K 742M 1% /dev/shm 
tmpfs 742M 8.8M 734M 2% /run 
tmpfs 742M O 742M 0% /sys/fs/cgroup 
/dev/sr0 3.5G 3.5G 0 10096 /media/cdrom 
/dev/sdal 497M 119M 379M 249% /boot 
/ dev/mapper/rhcsa-vo 113M 1.6M 103M 2% /rhcsa 
模拟 训练 D: fH E BESTE y fe 
LVM WEEE D FE EUREEN AA CURES GREC, 
TAZE Ea (容量 共计 296M， 已 用 120M, $84 196M): 
[root@linuxprobe ~|# vgdisplay 
--- Volume group --- 
VG Name rhcsa 
System ID 
Format lvm2 
Metadata Areas 1 
Metadata Sequence No 4 
VG Access read/write 
VG Status resizable 
MAX LV O 
Open LV 1 
Max PV O 
Cur PV 1 
Act PV 1 
VG Size 296.00 MiB 
PE Size 4.00 MiB 
Total PE 74 
Alloc PE / Size 30 / 120.00 MiB 
Free PE / Size 44 / 176.00 MiB 
VG UUID QxBS5f-beVv-FJnu-GKyu-UWWTF-JS8x-ytiAN9 
创建 原始 文件 ， 写 入 一 行文 字 : 
[root@linuxprobe -]* echo "Welcome to Linuxprobe.com" > /rhcsa/readme.txt 
[root@linuxprobe ~|# ls /rhcsa 
lost-found readme.txt 
Xt rhcsa 卷 组 的 vo 逻辑 卷 做 一 个 名 称 为 SNAP 而 大 小 为 150M BE RS PCR : 
[rootelinuxprobe ~|# lIvcreate -L 150M -s -n SNAP /dev/rhcsa/vo 
Rounding up size to full physical extent 152.00 MiB 
Reducing COW size 152.00 MiB down to maximum usable size 124.00 MiB. 
Logical volume "SNAP" created 
查看 逻辑 卷 和 快照 的 信息 : 
[root@linuxprobe ~|# lvs 
LV VG Attr LSize Pool Origin Data% Move Log Cpy%Sync Convert 
SNAP rhcsa swi-a-s--- 124.00m vo 0.01 


vo rhcsa owi-aos--- 120.00m 
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root rhel -wi-ao---- 17.51g 

swap rhel -wi-ao---- 2.00g 

在 逻辑 卷 中 创建 一 个 100M 的 文件 : 

[rootelinuxprobe ~|# dd if=/dev/zero of=/rhcsa/files count=1 bs=100M 
1+0 records in 

1+0 records out 

104857600 bytes (105 MB) copied, 1.31474 s, 79.8 MB/s 

再 来 看 下 人 逻辑 卷 快照 的 使 用 量 : 

[root@linuxprobe ~|# lvs 

LV VG Attr LSize Pool Origin Data% Move Log Cpy%Sync Convert 
SNAP rhcsa swi-a-s--- 124.00m vo 89.76 

vo rhcsa owi-aos--- 120.00m 

root rhel -wi-ao---- 17.51g 

swap rhel -wi-ao---- 2.00g 

KEIER PEST: 

[root&elinuxprobe ~|# umount /rhcsa 

恢复 SNAP Z OS RO WU: 

[root&linuxprobe ~|# lIvconvert --merge /dev/rhcsa/SNAP 
Merging of volume SNAP started. 

vo: Merged: 18.296 

vo: Merged: 100.096 

Merge of snapshot into logical volume vo has finished. 

Logical volume "SNAP" successfully removed 
快照 恢复 一 次 后 会 被 自动 删除 : 

[root@linuxprobe ~|# lvs 

LV VG Attr LSize Pool Origin Data% Move Log Cpy%Sync Convert 
vo rhcsa -Wi-a----- 120.00m 

root rhel -wi-ao---- 17.51g 


swap rhel -wi-ao---- 2.00 


重新 挂 载 文件 系统 : 

[root@linuxprobe ~|# mount /dev/rhcsa/vo /rhcsa 

原始 的 文件 还 在 ， 但 刚刚 创建 的 100M 大 文件 被 清除 了 : 
[rootelinuxprobe ~|# Is /rhcsa 


lost-found readme.txt 


6.9 磁盘 容量 配额 


如 前 面 介绍 章节 讲 到 的 类 Unix 系统 最 初 设计 理念 就 让 许多 人 一 起 使 用 ， 多 任务 的 操作 系统 ， 但 是 硬件 的 资源 是 固定 有 限 
的 ， 如 果 出 现 个 小 破坏 份子 不 断 的 创建 文件 或 下 载 电影 ， 那 么 硬盘 空间 总 有 一 天 会 被 占 满 的 吧 ， 这 时 就 需要 quota 服务 帮 


助 我 们 为 每 个 用 户 限 制 可 以 使 用 的 硬盘 空间 ， 一 旦 超出 预算 就 不 再 允许 他 们 使 用 。 


quota 的 磁盘 配额 可 以 限制 用 尸 的 硬盘 可 用 空间 或 最 大 创建 文件 数量 ， 并 且 还 有 软 / 硬 限制 的 区 别 : 


软 限制 : 当 达 到 软 限制 时 会 提示 用 户 ， 但 允许 用 户 在 规定 期 限 内 继续 使 用 。 
硬 限 制 : 当 达 到 硬 限 制 时 会 提示 用 户 ， 且 强制 终止 用 己 的 操作 。 
查看 内 核 是 否 支 持 quota 功能 : 
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[rootelinuxprobe ~]# dmesg | grep quota 
| 3.140241] VFS: Disk quotas dquot. 6.5.2 
查看 quota 程 上 序 包 是 否 已 经 安装 : 
[root@linuxprobe ~|# rpm -q quota 
quota-4.01-1 1.el7.x86. 64 
查看 boot 目录 是 否 支持 quota 功能 (noquota 表示 暂时 不 支持 ) : 
[rootelinuxprobe ~]# mount | grep boot 
/dev/sdal on /boot type xfs (rw,relatime,seclabel,attr2,inode64,noquota) 
让 /boot 目录 支持 quota 功能 : 
[rootelinuxprobe ~|# vim /etc/fstab 
UUIDz26e97ef81-51f1-4781-8f1c-Oacb9f631b32 /boot xfs defaults,uquota O 0 
重启 主机 后 即 可 生效 : 
[rootelinuxprobe ~|# reboot 
查看 boot 目录 是 否 支 持 quota 功能 (usrquota 表示 已 经 支持 ) : 
[rootelinuxprobe Desktop]£ mount | grep boot 
/dev/sdal on /boot type xfs (rw,relatime,seclabel,attr2,inode64,usrquota) 
创建 两 个 用 于 quota 实验 的 用 户 tom: 
[rootelinuxprobe ~|# useradd tom 
需要 允许 其 他 用 户 对 /boot 目录 写 入 文件 操作 : 
[root@linuxprobe ~|# chmod -Rf o+w /boot 
xfs quota 命令 用 于 管理 XFS 文件 系统 的 quota 硬盘 配额 ， 格 式 为 : "quota [参数 |] 配额 文件 系统 ”。 


参数 作用 

-C 命令 以 交换 式 或 参数 的 形式 设置 要 执行 的 命令 。 

-p 设置 提示 或 报错 信息 的 程序 名 称 ， 默 认为 xfs quota. 
-X 专家 模式 ， 能 够 对 quota 做 更 多 复杂 的 配置 。 


使 用 xfs_quota 命令 设置 对 tom 用 户 在 /boot 目录 的 磁盘 配额 ， 具 体 要 求 如 下 : 

使 用 quota 专家 模式 限制 磁盘 软 限 制 为 3m、 磁 盘 硬 限制 为 6m、 文 件 软 限制 为 3 个 且 文 件 硬 限制 为 6 个 。 
[root@linuxprobe ~|# xfs quota -x -c limit bsoft=3m bhard=6m isoft=3 ihard=6 tom’ /boot 
获取 当前 /boot 目录 上 的 quota 配额 限制 : 

[rootelinuxprobe ~|# xfs quota -x -c report /boot 

User quota on /boot (/dev/sdal) Blocks 

User ID Used Soft Hard Warn/Grace 

root 95084 0 0 00 [-------- | 

tom 0 3072 6144 00 [-—-— | 

切换 至 tom 用 户 : 

[root@linuxprobe ~|# su - tom 

正常 创建 了 一 个 为 5M 的 文件 : 

[tomelinuxprobe ~|$ dd if=/dev/zero ofz/boot/tom bs-5M count-1 

1+0 records in 


1+0 records out 
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5242880 bytes (5.2 MB) copied, 0.123966 s, 42.3 MB/s 

创建 8M 文件 时 强制 终止 并 报错 了 : 

[tomelinuxprobe ~|$ dd if=/dev/zero ofz/boot/tom bs=8M count-1 
dd: error writing  '/boot/tom' : Disk quota exceeded 

1+0 records in 

0+0 records out 

6291456 bytes (6.3 MB) copied, 0.0201593 s, 312 MB/s 

查看 当前 用 户 的 quota Wu] CE a 68 33 eA E T) : 
[tomelinuxprobe -]$ quota 

Disk quotas for user tom (uid 1001): 

Filesystem blocks quota limit grace files quota limit grace 
/dev/sdal 6144* 3072 6144 6days 1 3 6 

edquota 命令 用 于 超级 用 户 编辑 其 他 用 户 的 quota 配额 限制 ， 格 式 为 : “edquota [£X] [用 户 ]”。 


参数 作用 

-U 编辑 用 户 的 配额 限制 。 

-g 编辑 用 户 组 的 配额 限制 。 

T 通过 RPC 协议 编辑 远程 的 配额 。 


编辑 tom 的 配额 限制 ， 将 硬盘 的 硬 限 制 修改 为 8m(8192k): 
[rootelinuxprobe ~|# edquota -u tom 

Disk quotas for user tom (uid 1001): 

Filesystem blocks soft hard inodes soft hard 

/dev/sdal 6144 3072 8192136 

切换 至 tom 用 户 : 

[rootelinuxprobe ~|# su - tom 

Last login: Mon Sep 7 16:43:12 CST 2015 on pts/O 

再 来 创建 8m 的 文件 就 不 会 有 问题 了 : 

[tomelinuxprobe ~|$ dd if=/dev/zero ofz/boot/tom bs=8M count-1 
1+0 records in 

1+0 records out 

8388608 bytes (8.4 MB) copied, 0.0268044 s, 313 MB/s 

6.10 虚拟 文件 系统 

随 着 计算 机 系统 的 发 展 产 生出 了 众多 的 文件 系统 ， 为 了 使 用 尸 在 读 取 或 写 入 文件 时 不 用 关心 底层 的 硬盘 结构 ， 于 是 








在 Linux 内 核 中 的 软件 层 为 用 户 程序 提供 了 一 个 文件 | | | 

系统 接口 (VFS,Virtual File System), 这 样 就 转 而 统一 对 Ee E d Sem 
这 个 虚拟 文件 系统 进行 操作 啦 。 即 实际 文件 系统 在 M ra | 2 

VES 下 隐藏 了 自己 的 特性 和 细节 ， 使 得 我 们 在 日 常 使 

用 时 觉得 “文件 系统 都 是 一 样 的 ”。 | | pg 





H- 
系统 驱动 程序 
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6.11 软 硬 方式 链接 
在 Linux 系统 中 的 ln 命令 能 够 让 用 户 创建 出 两 种 不 同类 型 的 文件 快捷 方式 ， 一 定 要 注意 区 分 : 
硬 链接 (hard link) 可 以 被 理解 为 一 个 “指向 原始 文件 inode 的 指针 ”， 系 统 不 为 它 分 配 独立 的 inode 与 文件 ， 所 以 
实际 上 来 讲 硬 链接 文件 与 原始 文件 其 实 是 同一 个 文件 ， 只 是 名 字 不 同 。 于 是 每 添加 一 个 硬 链接 ， 该 文件 的 inode 连 
接 数 就 会 增加 1， 直 到 该 文件 的 inode 连接 数 归 0 才 是 彻底 删除 。 概 括 来 说 因为 硬 链接 实际 就 是 指向 原文 件 inode 的 
指针 ， 即 便 原 始 文件 被 删除 依然 可 以 通过 链接 文件 访问 ， 但 是 不 能 跨 文 件 系统 也 不 能 链接 目录 文件 。 
软 链接 也 称 为 符号 链接 (symbolic link) 即 “仅仅 包 仿 它 索要 链接 文件 的 路 径 名 ”因此 能 做 目录 链接 也 可 以 跨越 文 
件 系 统 ， 但 原始 文件 被 删除 后 链接 文件 也 将 失效 ， 如 同 Winodwm 中 的 “快捷 方式 ”。 
ln 命令 用 于 创建 链接 文件 ， 格 式 为 : “ln [选项 ] 目标 ”。 
创建 硬 链接 :“ln 文件 名 链接 名 ” 
创建 软 链接 :“ln -s 文件 名 连接 名 ” 


参数 作用 

* 创建 "符号 链接 "(默认 是 硬 链接 ) 
f 强制 创建 文件 或 目录 的 链接 
i 覆盖 前 先 询问 

" 显示 创建 链接 的 过程 


对 /etc 目录 做 出 一 个 名 为 etc 的 软 连 接 。 


[root@linuxprobe ~|# In -s /etc etc 


本 章 结束 ， 您 可 以 在 此 写 下 笔记 : 


第 7 章 Iptables 与 Firewalld 防火 墙 。 
章节 人 简 述 : 
21 RHEL7 系统 已 经 用 firewalld 服务 替代 了 iptables 服务 , 新 的 防火 墙 管理 命令 firewalL-cmd 与 图 形 化 工具 firewall-config。 
本 章节 基于 数 十 个 防火 墙 需求 ， 使 用 规则 策略 完整 演示 对 数据 包 的 过滤、SNAT/SDAT 技术 、 端 口 转发 以 及 负载 均衡 等 实验 。 
不 光 光 学 习 iptables 命令 与 firewalld 服务 , 还 新 增 了 Tcp_wrappers 防火 墙 服 务 小 节 , 简单 配置 即 可 保证 系统 与 服务 的 安全 。 


7.1 了 解 防火 墙 管理 工具 

防火 墙 虽 有 软件 或 硬件 之 分 但 主要 功能 还 是 依据 策略 对 外 部 请 求 进 行 过 滤 ， 成 为 公 网 与 内 网 之 间 的 保护 屏障 ， 防 火 

墙 会 监控 每 一 个 数据 包 并 判断 是 否 有 相应 的 匹配 策略 规则 ， 直 到 满足 其 中 一 条 策略 规则 为 止 ， 而 防火 墙 规则 策略 可 
以 是 基于 来 源 地 址 、 请 求 动 作 或 协议 来 定制 的 ， 最 终 仅 让 合法 的 用 户 请 求 流入 到 内 网 中 ， 其 余 的 均 被 丢弃 。 


Ue 
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在 红 帽 RHEL7 系统 中 firewalld 服务 取代 了 iptables 服务 ， 但 依然 可 以 使 用 iptables 命令 来 管理 内 核 的 netfilter。 
这 对 于 接触 Linux 系统 比较 早 或 学 习 过 红 帽 RHEL6 系统 的 读者 来 讲 ， 突 然 接 触 firewalld 服务 会 比较 抵触 ， 可 能 会 
觉得 新 增 Firewalld 服务 是 一 次 不 小 的 改变 ,其实 这 样 讲 也 是 有 道理 的 。 但 其 实 Iptables 服务 与 Firewalld 服务 都 不 
是 真正 的 防火 墙 ， 它 们 都 只 是 用 来 定义 防火 墙 规则 功能 的 “防火 墙 管理 工具 ”， 将 定义 好 的 规则 交 由 内 核 中 的 
netfilter 即 网 络 过 滤器 来 读 取 ， 从 而 真正 实现 防火 墙 功能 ， 所 以 其 实在 配置 规则 的 思路 上 是 完全 一 致 的 ， 而 我 会 在 
本 章 中 将 iptables 命令 与 firewalld 服务 的 使 用 方法 都 教授 给 你 们 ， 坦 白 讲 日 常 工作 无 论 用 那 种 都 是 可 行 的 。 


7.2 Iptables 命令 
iptables 命令 用 于 创建 数据 过 滤 与 NAT 规则， 主流 的 Linux 系统 都 会 默认 启用 iptables 命令 ， 但 其 参数 较 多 且 规 则 
策略 相对 比较 复杂 。 
7.2.1 规则 链 与 策略 
在 iptables 命令 中 设置 数据 过 滤 或 处 理 数据 包 的 策略 叫做 规则 ， 将 多 个 规则 合成 一 个 链 。 
举例 来 说 :小 区 门卫 有 两 条 的 规则 ， 将 这 两 个 规则 可 以 合成 一 个 规则 链 : 
遇 到 外 来 车 辆 需要 登记 。 
严禁 快递 小 哥 进 入 社区 。 
但 是 光 有 策略 还 不 能 保证 社区 的 安全 ， 我 们 需要 告诉 门卫 (iptables) 这 个 策略 (规则 链 ) 是 作用 于 哪里 的 ， 并 赋予 安保 人 员 可 
能 的 操作 有 这 些 ， 如 : “允许 ”，“ 登 记 ”，“ 拒 绝 ”，“ 不 理 他 ”， 对 应 到 iptables 命令 中 则 常见 的 控制 类 型 有 : 
ACCEPT: 人 允许 通过 . 
LOG: 记 录 日 志 信 息 ,然后 传 给 下 一 条 规则 继续 匹配 . 
REJECT: 拒 绝 通 过 ,必要 时 会 给 出 提示 . 
DROP: 直 接 丢 弃 ,不 给 出 任何 回应 . 
其 中 REJECT 和 DROP 的 操作 都 是 将 数据 包 拒 绝 ， 但 REJECT 会 再 回复 一 条 “您 的 信息 我 已 收 到 ， 但 被 扔 掉 了 ”。 
通过 ping 命令 测试 REJECT 情况 会 是 这 样 的 : 
[root@localhost ~|# ping -c 2 192.168.10.10 
PING 192.168.10.10 (192.168.10.10) 56(84) bytes of data. 
From 192.168.10.10 icmp seq-1 Destination Port Unreachable 
From 192.168.10.10 icmp seq-2 Destination Port Unreachable 
--- 192.168.10.10 ping statistics --- 








2 packets transmitted, O received, +2 errors, 10096 packet loss, time 3002ms 


但 如 果 是 DROP 则 不 予 响应 : 
[root@localhost ~|# ping -c 4 192.168.10.10 
PING 192.168.10.10 (192.168.10.10) 56(84) bytes of data. 


--- 192.168.10.10 ping statistics --- 
4 packets transmitted, O received, 100% packet loss, time 3000ms 
而 规则 链 则 依据 处 理 数 据 包 的 位 置 不 同 而 进行 分 类 : 
PREROUTING: 在 进行 路 由 选择 前 处 理 数 据 包 
INPUT: 处 理 入 站 的 数据 包 
OUTPUT: 处 理 出 站 的 数据 包 
FORWARD: 处 理 转 发 的 数据 包 
POSTROUTING: 在 进行 路 由 选择 后 处 理 数据 包 
Iptables 中 的 规则 表 是 用 于 容纳 规则 链 ， 规则 表 默 认 是 允许 状态 的 ， 那么 规则 链 就 是 设置 被 禁止 的 规则 ， 而 反之 如 果 
规则 表 是 禁止 状态 的 ， 那 么 规则 链 就 是 设置 被 允许 的 规则 。 
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raw 表 : 确 定 是 否 对 该 数据 包 进 行 状态 跟踪 
mangle 表 : 为 数据 包 设 置 标记 
nat 表 : 修 改 数 据 包 中 的 源 、 目 标 IP 地 址 或 端口 
filter 表 : 确 定 是 否 放 行 该 数据 包 GIR) 






INPUT $£ 


I 

I 

I 

[| 

I 

[| 

I 

I 

I 

| FORWARD $f i 
I 

I 

retta 1 
I 

I 

OUTPUT $ I 

1 

I 

I 





POSTROUTING $£ 





FORWARD $f 


规则 表 的 先后 顺序 :raw 一 mangle 一 natfilter 






规则 链 的 先后 顺序 : 
入 站 顺序 :PREROUTING 一 INPUT 
出 站 顺序 :OUTPUT 一 POSTROUTING 
转发 顺序 :PREROUTING 一 FORWARD 一 POSTROUTING 


还 有 三 点 注意 事项 : 

1. 没 有 指定 规则 表 则 默认 指 filter 表 。 

2. 不 指定 规则 链 则 指 表 内 所 有 的 规则 链 。 

3. 在 规则 链 中 匹配 规则 时 会 依次 检查 ， 匹 配 即 停 止 CLOG 规则 例外 )， 若 没 匹配 项 则 按 链 的 默认 状态 处 理 。 


7.2.2 基本 的 命令 参数 
iptables 命令 用 于 管理 防火 墙 的 规则 策略 ， 格 式 为 : “iptables [-t 表 名 ] 选项 [ 链 名 ] RA H 控制 类 型 ]”。 
表格 为 读者 总 结 了 几乎 所 有 常用 的 iptables 参数 ， 如 果 记 不 住 也 没关系 ， 用 时 来 查 就 行 ,看 完 后 来 学 习 下 如 何 组 合并 使 用 吧 : 


参数 作用 


-P 设置 默认 策略 :iptables -P INPUT (DROP|ACCEPT) 
下 清空 规则 链 

L 查看 规则 链 

-À 在 规则 链 的 末尾 加 入 新 规则 


-| num 在 规则 链 的 头 部 加 入 新 规则 
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-D num 删除 某 一 条 规则 
-S 匹配 来 源 地 址 IP/MASK， 加 以 号 "表示 除 这 个 IP 外 。 
-d 匹配 目标 地 址 
4 网 卡 名 称 匹配 从 这 块 网 卡 流入 的 数据 
-0 网 卡 名 称 匹配 从 这 块 网 卡 流出 的 数据 
-p 匹配 协议 ,如 tcp,udp.icmp 
-dport num 匹配 目标 端口 
--sport num Ve RO SK JE H 

查看 已 有 的 规则 : 

[rootelinuxprobe ~|# iptables -L 

清空 已 有 的 规则 : 


[rootelinuxprobe ~|# iptables -F 
将 INPUT 链 的 默认 策略 设置 为 拒绝 : 
3i INPUT 链 默认 规则 设置 为 拒绝 时 ， 我 们 需要 写 入 允许 的 规则 策略 。 
这 个 动作 的 目地 是 当 接 收 到 数据 包 时 ， 按 顺 厚 匹配 所 有 的 允许 规则 策略 ， 当 全 部 规则 都 不 匹配 时 ， 拒 绝 这 个 数据 包 。 
[root@linuxprobe ~|# iptables -P INPUT DROP 
允许 所 有 的 ping 操作 : 
[root&linuxprobe ~|# iptables -I INPUT -p icmp -j ACCEPT 
Æ INPUT 链 的 末尾 加 入 一 条 规则 ， 人 允许 所 有 未 被 其 他 规则 匹配 上 的 数据 包 : 
因为 默认 规则 表 就 是 人 lter， 所 以 其 中 的 ”二 他 ter“ 一 般 省 略 不 写 ， 效 果 是 一 样 的 。 
[root@linuxprobe ~|# iptables -t filter -A INPUT -j ACCEPT 
删除 上 面 的 那 条 规则 : 
[rootelinuxprobe ~|# iptables -D INPUT 2 
既然 读者 已 经 掌握 了 iptables 命令 的 基本 和 参数， 那么 来 尝试 解决 模拟 训练 吧 : 
模拟 训练 A: 仅 允许 来 自 于 192.168.10.0/24 域 的 用 户 连接 本 机 的 ssh 服务 。 
Iptables 防火 墙 会 按照 顺序 匹配 规则 ， 请 一 定 要 保证 “允许 ”规则 是 在 “拒绝 ”规则 的 上 面 。 
[root@linuxprobe ~|# iptables -I INPUT -s 192.168.10.0/24 -p tcp --dport 22 -j ACCEPT 
[root@linuxprobe ~|# iptables -A INPUT -p tcp --dport 22 -j REJECT 
模拟 训练 B: 不 允许 任何 用 户 访问 本 机 的 12345 端口 。 
[root@linuxprobe ~|# iptables -I INPUT -p tcp --dport 12345 -j REJECT 
[root@linuxprobe ~|# iptables -I INPUT -p udp --dport 12345 -j REJECT 
模拟 实验 C( 答 案 模式 ): 拒 绝 其 他 用 户 从 ”eno16777736“ 网 卡 访问 本 机 http 服务 的 数据 包 。 
答案 : [rootlinuxprobe ~]# iptables -I INPUT -i eno16777736 -p tcp -dport 80 -j REJECT 
模拟 训练 D: 禁 止 用 户 访问 www.my133t.org。 
[root@linuxprobe ~|# iptables -I FORWARD -d www.my133t.org -j DROP 
模拟 训练 下 禁止 IP 地 址 是 192.168.10.10 的 用 户 上 网 
[root@linuxprobe ~|# iptables -I FORWARD -s 192.168.10.10 -j DROP 
iptables 命令 执行 后 的 规则 策略 仅 当 前 生效 ， 若 想 重启 后 依然 保存 规则 需 执 行 ”service iptables save “, 
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7.2.3 SNAT 5 DNAT 
SNAT 即 源 地 址 转换 技术 ， 能 够 让 多 个 内 网 用 户 通 过 一 个 外 网 地 址 上 网 ， 解 决 了 IP 资源 匮乏 的 问题 ， 确 实 很 实用 。 
例如 读者 们 来 访问 《Linux 就 该 这 么 学 》 的 网 页 ， 则 就 是 通过 家 中 的 网 关 设 备 (您 的 无 线路 由 器 ) 进行 的 SNAT 转换 。 










网 关 服 务 器 
网 卡 1: 111. 196. 211. 212 
网 卡 2: 192. 168. 10. 1 


局 域 网 IP 范 围 
192. 168. 10. 0/24 





- E 
Ey By By Bs wiv 


《多 用 户 局 域 网 共享 上 网 的 拓扑 ) 


网 关 服 务 器 
局 域 网 PC 机 外 网 : 111. 196. 211. 212 互联 网 中 的 网 站 服务 器 
192. 168. 10. 10 61. 240. 149. 149 


内 网 : 192. 168. 10. 1 


源 地 址 : 192. 168. 10. 10 源 地 址 : 192. 168. 10. 10 





目标 地 址 : 61. 240. 149. 149 


一 
HTTP 请 求 ag 


目标 地 址 : 61.240. 149. 149 
- 


HTTP 请求 





52 


HTTP 应 答 


ETTTI 


源 地 址 : 61.240. 149. 149 


目标 地 址 : 192. 168. 10. 10 


( 因 未 使 用 SNAT 技术 ， 所 以 在 网 站 服务 瑜 应答 后 找 不 到 192.168.10.10 这 合 主机 ， 无 法 正常 浏览 网 页 ) 


网 关 服务 器 - 
局 域 网 PC 机 918: 111. 196. 211. 212 互联 网 中 的 网 站 服务 器 
192. 168. 10. 10 61. 240. 149. 149 
内 网 192. 168. 10. 1 


源 地 址 : 192. 168. 10. 10 源 地 址 : 111. 196. 211. 212 


目标 地 址 : 61. 240. 149. 149 目标 地 址 : 61. 240. 149. 149 


|| = = 
| HTTP 请 求 + HTTP 请 求 ^n 
De HTTP 应 答 HTTP 应 答 CA 


源 地 址 : 61.240. 149. 149 源 地 址 :61. 240. 149. 149 








目标 地 址 ，192. 168. 10. 10 目标 地 址 : 111. 196. 211. 212 


( 因 使 用 了 SNAT 地 址 转换 技术 ， 服 务 叭 应答 后 先 由 圆 关 服 务 器 接收 ， 再 分 发 给 内 网 的 用 户主 机 。) 

现在 需要 将 ”192.168.10.0“ 网 段 的 内 网 IP 用 户 经 过 地 址 转换 技术 变 成 外 网 IP 地 址 ”111.196.211.212“， 这 样 一 来 

内 网 IP 用 户 就 都 可 以 通过 这 个 外 网 IP 上 网 了 ， 使 用 iptables 防火 墙 即 可 实现 SNAT 源 地 址 转换 ， 根 据 需求 命令 如 下 : 
-HWUAMKGUEM | BEARDE | AMRO | _ 外 网 接口 的 IP 好 址 | 


A A 
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eno16777736 -j SNAT --to-source 111.196. 211. 212 


不 知 读者 有 无 这 种 经 历 ， 当 使 用 联通 或 者 电信 上 网 的 时 候 , 每 次 拨号 都 会 重新 分 配 新 的 了 地 址 ,那么 老 网 关 IP ZEE RAE AZ 
这 种 外 网 IP 地 址 不 稳定 的 情况 即 可 使 用 MASQUERADE( 动 态 伪装 ): 能 够 自动 的 寻找 外 网 地 址 并 改 为 当前 正确 的 外 网 卫 地 址 
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE 

DNAT 即 目 地 地 址 转换 技术 ， 则 能 够 让 外 网 TP 用 户 访问 局 域 网 内 不 同 的 服务 器 。 


Po] 3€ BR SS: S (uir. linuxprobe. com) 
网 卡 1: 61.240. 149. 149 
网 卡 2: 192. 168. 10. 1 | 


LS 
111. 196. 211.212 


局 域 网 自 
192.168. 10. 0/24 一 一 ~ 一 
QU 网 站 服务 器 


ux us = 192. 168. 10. 6 
(互联 网 中 的 客户 机 访问 网 站 时 的 拓扑 ) 
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了 网关 服 务 器 
企业 网 内 的 Web 服 务 器 eth0: 61.240.149. 149 Internet 中 的 客户 机 


192. 168.10. 6 ethl: 192.168. 10 1 111.196.211.212 






源 地 址 : 111. 196. 211. 212 源 地 址 : 111. 196. 211. 212 
目标 地 址 : 192. 168. 10.6 目标 地 址 : 61. 240. 149. 149 


< C E M ————————— 
U HTTP 请 求 
E 








源 地 址 : 192.168. 10.6 源 地 址 : 61.240.149. 149 
目标 地 址 : 111. 196. 211.212 目标 地 址 : 111. 196. 211.212 


(DNAT 的 数据 包 转 换 过 程 ) 
现在 希望 互联 网 中 的 客户 机 访问 到 内 网 ”192.168.10.6“ 这 人 台 提 供 网 站 服务 的 主机 ， 那 么 只 需 在 网 关系 统 上 运行 这 条 命令 : 


Ly -~ 一 一 一 
iptables -t nat -A PREROUTING -i eno16777736 -d 61. 240. 149. 149 -p tcp —dport 80 」 DNAT -to-destination 192.168.10.6 
mQ— 


ET 








7.2.4 端口 转发 与 流量 均衡 

端口 转发 功能 可 以 将 原本 到 茶 端 口 的 数据 包 转 发 到 其 他 端口 : 

firewall-cmd --permanent --zone-« X 5» --add-forward-port=port=< 源 端口 号 >:proto=< 协 议 >:toport=< 目 标 端口 号 >:toaddr=< 目 标 IP 地 址 > 
将 访问 192.168.10.10 主机 888 端口 的 请 求 转发 至 22 端口 : 

[root@linuxprobe ~|# firewall-cmd --permanent --zone=public --add-forward- 
port=port=888:proto=tcp:toport=22:toaddr=192.168.10.10 

SUCCESS 

使 用 客户 机 的 ssh 命令 访问 192.168.10.10 主机 的 888 端口 : 

[rootelinuxprobe ~|# ssh -p 888 192.168.10.10 

The authenticity of host '[192.168.10.10]:888 ([192.168.10.10]|:888)' cant be established. 

ECDSA key fingerprint is b8:25:88:89:5c:05:b6:dd:ef:7 6:63:ff:1a:54:02:1a. 

Are you sure you want to continue connecting (yes/no)? yes 

Warning: Permanently added '[192.168.10.10]:888' (ECDSA) to the list of known hosts. 

root? 192.168.10.10's password: 

Last login: Sun Jul 19 21:43:48 2015 from 192.168.10.10 


A P LCS EBON ALIE AHBOR, Bik & EILE A PUE HIS ACA de, REI PLU EN PP 3 全 不 同 的 主机 上 。 
iptables -A PREROUTING -i ethO -p tcp --dport 80 -m state --state NEW -m nth counter O --every 3 --packet O - 

j DNAT --to-destination 192.168.10.10:80 

iptables -A PREROUTING -i ethO -p tcp --dport 80 -m state --state NEW -m nth counter O --every 3 --packet O - 

j DNAT --to-destination 192.168.10.11:80 

iptables -A PREROUTING -i ethO -p tcp --dport 80 -m state --state NEW -m nth counter O --every 3 --packet O - 

j DNAT --to-destination 192.168.10.12:80 


7.3 Firewalld E X 5i 

Firewalld 服务 是 红 帽 RHEL7 系统 中 默认 的 防火 墙 管理 工具 ， 特 点 是 拥有 运行 时 配置 与 永久 配置 选项 上 且 能 够 支持 动态 更 新 以 
及 “zone” 的 区 域 功 能 概念 ， 使 用 图 形 化 工具 firewall-config 或 文本 管理 工具 firewall-cmd， 下 面 实 验 中 会 讲 到 ~ 

7.3.1 区 域 概念 与 作用 

防火 墙 的 网 络 区 域 定 义 了 网 络 连接 的 可 信 等 级 ， 我 们 可 以 根据 不 同 场景 来 调用 不 同 的 firewalld 区 域 ， 区 域 规则 有 : 
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区 域 默认 规则 策略 

trusted — 允许 所 有 的 数据 包 ，。 

home 拒绝 流入 的 数据 包 , 除非 与 输出 流量 数据 包 相 关 或 是 ssh,mdns,ipp-client,samba-client 与 dhcpv6-client 服务 则 允许 。 
internal ”等 同 于 home 区 域 

work 拒绝 流入 的 数据 包 ， 除 非 与 输出 流量 数据 包 相 关 或 是 ssh,ipp-client 与 dhcpv6-client 服务 则 允许 。 

public ” 拒绝 流入 的 数据 包 ， 除 非 与 输出 流量 数据 包 相 关 或 是 ssh,dhcpv6-client 服务 则 允许 。 

external “拒绝 流入 的 数据 包 ， 除 非 与 输出 流量 数据 包 相 关 或 是 ssh 服务 则 允许 。 

dmz 拒绝 流入 的 数据 包 ， 除 非 与 输出 流量 数据 包 相 关 或 是 ssh 服务 则 允许 。 

block 拒绝 流入 的 数据 包 ， 除 非 与 输出 流量 数据 包 相 关 。 


drop 拒绝 流入 的 数据 包 ， 除 非 与 输出 流量 数据 包 相 关 。 
简单 来 讲 就 是 为 用 户 预 先 准备 了 几 套 规则 集合 , 我 们 可 以 根据 场景 的 不 同 选择 合适 的 规矩 集 仓 , 而 默认 区 域 是 public. 


7.3.2 字符 管理 工具 


邵 果 想 要 更 高 效 的 配置 妥当 防火 墙 ， 那么 就 一 定 要 学 习 字 符 管 理工 具 firewall-cmd 命令 ,命令 参数 有 : 
参数 作用 
--get-default-zone 查询 默认 的 区 域名 称 。 
--set-default-zone=< 区 域名 称 > 设置 默认 的 区 域 ， 永 久生 效 。 
--get-zones 显示 可 用 的 区 域 。 
--get-services 显示 预先 定义 的 服务 。 
-get-active-zones 显示 当前 正在 使 用 的 区 域 与 网 卡 名 称 。 
--add-source= 将 来 源 于 此 IP 或 子 网 的 流量 导向 指定 的 区 域 。 
--remove-source= 不 再 将 此 卫 或 子 网 的 流量 时 向 某 个 指定 区 域 。 
--add-interface=< 网 卡 名 称 > 将 来 自 于 该 网 卡 的 所 有 流量 都 导向 某 个 指定 区 域 。 
--change-interface=< 网 卡 名 称 > 将 某 个 网 卡 与 区 域 做 关联 。 
Sal 显示 当前 区 域 的 网 卡 配置 参数 ， 资 源 ， 端 口 以 及 服务 等 信息 。 


--]ist-all-zones 显示 所 有 区 域 的 网 卡 配置 参数 ， 资 源 ， 端 口 以 及 服务 等 信息 。 
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--add-service=< 服 务 名 > 设置 默认 区 域 允 许 该 服务 的 流量 。 

--add-port=< 端 口号 /协议 > 允许 默认 区 域 允 许 该 端口 的 流量 。 
--remove-service=< 服 务 名 > 设置 默认 区 域 不 再 允许 该 服务 的 流量 。 
-remove-port=< 端 口号 /协议 > 允许 默认 区 域 不 再 允许 该 端口 的 流量 。 

reload 让 “了 永久 生效 ”的 配置 规则 立即 生效 ， 和 覆盖 当前 的 。 


特别 需要 注意 的 是 firewalld 服务 有 两 份 规则 策略 配置 记录 ， 作 需要 能 够 区 分 : 
RunTime: 当 前 正在 生效 的 。 
Permanent: 永 久生 效 的 。 
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当下 面 实 验 修改 的 是 永久 生效 的 策略 记录 时 ， 必 须 执 行 ” 一 reload “参数 后 才能 立即 生效 ， 否 则 要 重启 后 青 生效 。 


查看 当前 的 区 域 : 

[root@linuxprobe ~|# firewall-cmd --get-default-zone 

public 

查询 eno16777728 网 卡 的 区 域 : 

[root@linuxprobe ~|# firewall-cmd --get-zone-of-interface=eno16777728 
public 

在 public 中 分 别 查 询 ssh 5 http 服务 是 否 被 允许 : 

[root@linuxprobe ~|# firewall-cmd --zone=public --query-service-ssh 

yes 


[root@linuxprobe ~|# firewall-cmd --zone=public --query-service=http 


no 
设置 默认 规则 为 dmz: 


[root@linuxprobe ~|# firewall-cmd --set-default-zone=dmz 
让 “永久 生效 ”的 配置 文件 立即 生效 : 
[root@linuxprobe ~|# firewall-cmd --reload 


SUCCESS 


局 动 /关闭 应 急 状 况 模 式 ， 阻 断 所 有 网 络 连 接 : 

应 急 状 况 模式 情 动 后 会 禁止 所 有 的 网 络 连接 ， 一 切 服务 的 请 求 也 都 会 被 拒绝 ， 当 心 ， 请 慎 用 。 
[root@linuxprobe ~|# firewall-cmd --panic-on 

SUCCESS 

[root@linuxprobe ~|# firewall-cmd --panic-off 


SUCCESS 


如 果 您 已 经 能 够 完全 理解 上 面 练习 中 firewall-cmd 命令 的 参数 作用 ， 不 妨 来 尝试 完成 下 面 的 模拟 训练 吧 : 


模拟 训练 A: JS YF https 服务 流量 通过 public 区 域 ， 要 求 立 即 生 效 且 永久 有 效 : 
方法 一 :分 别 设置 当前 生效 与 永久 有 效 的 规则 记录 : 

[rootelinuxprobe ~|# firewall-cmd --zone=public --add-service=https 
[root@linuxprobe ~|# firewall-cmd --permanent --zone-public --add-service-https 
方法 二 :设置 永久 生效 的 规则 记录 后 读 取 记录 : 


[rootelinuxprobe ~|# firewall-cmd --permanent --zone-public --add-service-https 
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[root@linuxprobe ~|# firewall-cmd --reload 

模拟 训练 B: 不 再 允许 http 服务 流量 通过 public 区 域 ， 要 求 立 即 生效 且 永 久生 效 : 

[root@linuxprobe ~|# firewall-cmd --permanent --zone-public --remove-service=http 
success 

使 用 参数 “一 reload“ 计 永久 生效 的 配置 文件 立即 生效 : 

[rootelinuxprobe ~|# firewall-cmd --reload 

Success 

模拟 训练 C: 允 许 8080 5 8081 端口 流量 通过 public 区 域 ， 立 即 生 效 且 永久 生效 : 

[rootelinuxprobe ~|# firewall-cmd --permanent --zone-public --add-port-8080-8081 /tcp 

[rootelinuxprobe ~|# firewall-cmd reload 

模拟 训练 D: 查 看 模拟 实验 C 中 要 求 加 入 的 端口 操作 是 否 成 功 : 

[root@linuxprobe ~|# firewall-cmd --zone=public --list-ports 

8080-8081 /tcp 

[rootelinuxprobe ~|# firewall-cmd permanent --zone-public --list-ports 

8080-8081 /tcp 

模拟 实验 EK eno16777728 网 卡 的 区 域 修改 为 external， 重 启 后 生效 : 

[root@linuxprobe ~|# firewall-cmd --permanent --zone-external --change-interface=eno 16777728 

success 

[root@linuxprobe ~|# firewall-cmd --get-zone-of-interface=eno16777728 

public 

再 次 提示 :请 读者 们 再 仔细 琢磨 下 立即 生效 与 重启 后 依然 生效 的 差别 ， 千 万 不 要 修改 错 了 。 

模拟 实验 :设置 富 规则 ， 拒 绝 192.168.10.0/24 网 段 的 用 户 访问 ssh 服务 : 

firewalld 服务 的 富 规则 用 于 对 服务 、 端 口 、 协 议 进行 更 详细 的 配置 ， 规 则 的 优先 级 最 高 。 





[root@linuxprobe ~|# firewall-cmd --permanent --zone-public --add-rich-rule-'rule family-'ipv4" 


address= 192.168.10.0/24" service name= Ssh reject" success 


7.3.3 图 形 管理 工具 
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source 


执行 firewall-config 命令 即 可 看 到 firewalld 的 防火 墙 图 形 化 管理 工具 ， 真 的 很 强大 ， 可 以 完成 很 多 复杂 的 工作 。 


firewalld 防火 墙 图 形 化 管理 工具 界面 详解 : 
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Firewall Configuration 
File Options View Help 


Configuration: Runtime ~ © 


f 1 
Zones | Services 


A daraus zoe defines the level of trust for network connections, interfaces and source addresses bound to the zone. The 
zone combines services, ports, protocols, masquerading, port/packet forwarding, icmp filters and rich rules. The zone can be 


© ®© © BD) i 
Z | 
€ € | Services | Ports Masquerading Port Forwarding | ICMP Filter Rich Rules Interfaces > 


bound to interfaces and source e 


block 
d Here you can define which services are trusted in the zone. Trusted services are accessible from 
mz 
all hosts and networks that can reach the machine from connections, interfaces and sources bound 

drop to this zone 
external - 

2aervice 
home 

amanda-client 
internal 


bacula 


| pubtie | bacula-client 


trusted i 


dhcp 
wem dhcpv6 
Y dhcpv6-client 
dns 
ftp 
Connected (3 Default Zone: public Lockdown: disabled Panic Mode: disabled 


(D: 选 择 ” 立 即 生效 “或 ”重启 后 依然 生效 “配置 。 

DKR Ko 

(3): 服 务 列表 。 

(9: 当 前 选中 的 区 域 。 

:被 选中 区 域 的 服务 。 

@@: 被 选中 区 域 的 端口 。 

:被 选中 区 域 的 伪装 。 

(@@): 被 选中 区 域 的 端口 转发 。 

@@: 被 选中 区 域 的 ICMP 包 。 

(@: 被 选中 区 域 的 富 规则 。 

(3 被 选中 区 域 的 网 卡 设备 。 

(3 被 选中 区 域 的 服务 ， 前 面 及 的 表示 允许。 

(3firewalld 防火 墙 的 状态 

请 注意 :firewall-config 图 形 化 管理 工具 中 没有 保存 /完成 按钮 ， 只 要 修改 就 会 生效 。 
允许 其 他 主机 访问 http 服务 ， 仅 当前 生效 : 


Firewall Configuration 


File Options View Help 


Configuration: 


f l 
Zones | Services 


A firewalld zone defines the level of trust for network connections, interfaces and source addresses bound to the zone. The 
zone combines services, ports, protocols, masquerading, port/packet forwarding, icmp filters and rich rules. The zone can be 


bound to interfaces and source addresses 


z 
€ Lservees RR Masquerading Port Forwarding |CMP Filter Rich Rules Interfaces > 


block 
d Here you can define which services are trusted in the zone. Trusted services are accessible from 
mz 
all hosts and networks that can reach the machine from connections, interfaces and sources bound 
drop to this zone. 
external 
>er € 
home 
ftp 
internal j 
CO p 
trusted 
https 
work 
imaps 
IPP 
ipp-client 
ipsec 


Connected. Default Zone: public Lockdown: disabled Panic Mode: disabled 
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允许 其 他 主机 访问 8080-8088 端口 且 重 启 后 依然 生效 : 


Port and Protocol 


Please enter a port and protocol. 


Port / Port Range: 8080-8088 


Protocol: tcp w 





开启 伪装 功能 ， 重 启 后 依然 生效 : 
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Firewall Configuration bie em 
File | Options | View Help 
Con PERSSE 
fz Change Zones of Connections... > 
[ Change Default Zone i 
A fir k connections, interfaces and source addresses bound to the zone. The 
zon Panic Mode ng, port/packet forwarding, icmp filters and rich rules. The zone can be 
bour 
Lockdown 
Zo í E Y 
— € | Services| Ports | Port ICMP Filter | Rich Rules Interfaces > 
oc 
dm Add additional ports or port ranges, which need to be accessible for all hosts or networks that can 
: connect to the machine. 
drop 
Port Protocol 
external 
8080-8088 tcp 
home 
internal 
trusted 
work 
95-i» Add Edit Remove | 
La | 
Connected. Default Zone: public Lockdown: disabled Panic Mode: disabled 


firewalld 防火 墙 的 伪装 功能 实际 就 是 SNAT 技术 ， 即 让 内 网 用 户 不 必 在 公 网 中 暴露 自己 的 真实 IP 3t. 





r 


Firewall Configuration 
File Options View Help 


Configuration: Permanent v 






































A firewalld zone defines the level of trust for network connections, interfaces and source addresses bound to the zone. The 
zone combines services, ports, protocols, masquerading, port/packet forwarding, icmp filters and rich rules. The zone can be 
bound to interfaces and source addresses. 
Zoi x 
: € € | Services] Ports! Masquerading | Port Forwarding ICMP Filter RichRules Interfaces > 
loc ' 
T Masquerading allows you to set up a host or router that connects your local network to the 
s internet. Your Local network will not be visible and the hosts appear as a single address on the 
drop internet. Masquerading is IPv4 only. 
iur "* Masquerade zone 
— If you enable masquerading, IP forwarding will be enabled for your IPv4 networks. 
internal 
trusted 
work 
*(»-i9 
—À 
Connected. Default Zone: public Lockdown: disabled Panic Mode: disabled 





将 向 本 机 888 端口 的 请 求 转发 至 本 机 的 22 端口 且 重 尼 后 依然 生效 : 


Port Forwarding 


Please select the source and destination options 
according to your needs. 


Protocol: tcp w 
Port / Port Range: 888 ; Trdi E 


Destination 


If you enable Local forwarding, you have to specify a 
port. This port has to be different to the source port. 


V Local forwarding 


O Forward to another port 





IP address 
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过 滤 所 有 ”echo-reply” 的 ICMP 协议 报 文 数据 包 ， D 


ICMP 即 互 联网 控制 报 文 协议 ”Internet Control Message Protocol ", H/&-T TCP/IP 协议 族 ， 主 要 用 于 检测 网 络 间 
是 否 可 通信 、 主 机 是 否 可 达 、 路 由 是 否 可 用 等 网 络 状态 ， 并 不 用 于 传输 用 户 数据 


x 


Firewall Configuration 


File Options View Help 


p 
f | 
Zones | Services 


A firewalld zone defines the Level of trust for network connections, interfaces and source addresses bound to the zone. The 
zone combines services, ports, protocols, masquerading, port/packet forwarding, icmp filters and rich rules, The zone can be 


bound to interfaces and source addresses 


Zone 
€ | Services] Ports Masquerading Port Forwarding | ICMP Filter | Rich Rules interfaces > 
block 
d The Internet Control Message Protocol (ICMP) is mainly used to send error messages between 
mz 
networked computers, but additionally for informational messages like ping requests and replies. 
dro 
P Mark the ICMP types in the list, which should be rejected. All other ICMP types are allowed to 
external pass the firewall. The default is no limitation 
home Icmp Type 
internal 


destination-unreachable 


COCREENENM G— HUON——"——X EIE 


— echo-request 
we parameter problem 勾 选 要 拒绝 的 ICMP 报 文 类 型 。 
redirect 
router-advertisement 
router-solicitation 
Connected. Changes applied Default Zone: public Lockdown: disabled Panic Mode: disabled 





RY 192.168.10.20 主机 访问 本 机 的 1234 端口 ， 仅 当前 生效 : 


富 规则 代表 着 更 细致 、 更 详细 的 规则 策略 ， 针 对 某 个 服务 、 主 机 地 址 、 端 口号 等 选项 的 规则 策略 ， 优 先 级 最 高 。 


Firewall Configuration 


File Options View Hel Rich Rule 
Configuration: Please enter a rich rule 
rl For host or network white or blacklisting deactivate the element 


| Zones | Services 
A firewalld zone defines th Family: ipv4 hl bund to the zone, The 


zone combines services, pd ules. The zone can be 


bound to interfaces and sol "Y Den port v 1234/tcp i5 
Zone | > 
accept v h Rules | Interfaces 
block Y Action 
dux With limit 
drop = 
Source: | 192.168.10.20/24 BP 7 inverted 
external 
home Destination ||. 192.168,10.10/24 Ey inverted 
internal 二 上 3 
trusted Log: | 
work -] E 
Audit 
审计 Cancel OK 





Default Zone: public Lockdown: disabled Panic Mode: disabled 





Connected. 


查看 网 卡 设备 信息 : 


Firewall Configuration 
File Options View Help 


Configuration: Runtime ~ 


f 1 
Zones Services 


A firewalld zone defines the Level of trust for network connections, interfaces and source addresses bound to the zone. The 
zone combines services, ports, protocols, masquerading, port/packet forwarding, icmp filters and rich rules. The zone can be 
bound to interfaces and source addresses 


Zone s 3 : : | 
€ | Services] Ports Masquerading | Port Forwarding; ICMP Filter | Rich Rules | Interfaces ， > 
block 
Add entries to bind interfaces to the zone. If the interface will be used by a connection, the zone 


dmz 
will be set to the zone specified in the connection 


drop 
Interface Comment 


external 





28 Used by network connection 'eno167 


home 


internal 


trusted 


work 


Add Edit 


Connected. Changes applied Default Zone: public Lockdown: disabled Panic Mode: disabled 


Fita, 图 形 管 理工 具 真 的 非常 实用 ， 很 多 原本 复杂 的 长 命令 被 用 图 形 化 按钮 蔡 代 ， 设 置 规则 也 变 得 简单 了 ， 


常 工作 中 真 的 非常 实用 。 所 以 有 必要 跟 们 读者 讲 清 配置 防火 墙 的 原则 一 一 
oi 是 图 形 管 理工 具 都 是 可 以 的 。 


只 要 能 实现 需求 的 功能 ， 无 论 用 文本 管 
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7.4 服务 的 访问 控制 列表 
Tcp_wrappers( 即 Transmission Control Protocol(TCP)Wrappers) 是 一 款 基于 IP 层 的 ACL 访问 控制 列表 流量 监控 程 
序 ， 它 能 够 根据 来 访 主机 地 址 与 本 机 目标 服务 程序 做 允许 或 拒绝 规则 ， 控 制 列 表 修 改 后 会 立即 生效 ， 系 统 将 会 先 检查 
允许 规则 ， 如 果 匹 配 允 许 则 直接 放行 流量 ， 若 拒绝 规则 中 匹配 则 直接 拒绝 ， 都 不 匹配 默认 也 会 放行 。 
允许 名 单 :/etc/hosts.allow 


拒绝 名 单 :/etc/hosts.deny 

指定 客户 端的 规则 如 下 : 
客户 端 类 型 示例 满足 示例 的 客 尸 端 列表 
单一 主机 192.168.10.10 IP 地 址 为 192.168.10.10 的 主机 。 
指定 网 段 192.168.10. IP REX; 192.168.10.0/24 的 主机 。 
指定 网 段 192.168.10.0/255.255.255.0 IP 段 为 192.168.10.0/24 的 主机 。 
指定 DNS FA linuxprobe.com 所 有 DNS E 2X 77 linuxprobe.com 的 主机 

BE ENL TE boss.linuxprobe.com 主机 名 称 为 boss.linuxprobe.com 的 主机 。 

指定 所 有 客户 端 ALL 所 有 主机 全 部 包括 在 内 。 

限制 只 有 192.168.10.0/24 网 段 的 主机 可 以 访问 本 机 的 httpd 服务 : 

编辑 允许 规则 : 


[root@linuxprobe ~|# vim /etc/hosts.allow 
httpd:192.168.10. 

拒绝 其 他 所 有 的 主机 : 

[root@linuxprobe ~|# vim /etc/hosts.deny 
httpd:* 


本 章 结束 ， 您 可 以 在 此 写 下 笔记 : 
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第 8 章 使 用 ssh 服务 管理 远程 主机 。 
章节 简 述 : 
红 帽 RHEL7 系统 将 原先 熟悉 的 守护 进程 替换 为 了 systemd， 用 sytemctl 命令 蔡 换 掉 了 很 多 管理 命令 ， 变 化 的 确 很 大 。 
学 习 使 用 nmtui 命令 配置 网 卡 参数 、 手 工 将 多 块 网 卡 做 绑 定 、 使 用 nmcli 命令 查看 网 卡 信息 和 使 用 ss 命令 查看 网 络 及 端口 状态 。 
sshd 服务 配置 方法 并 详细 讲述 每 个 参数 的 作用 ， 实 战 基于 密 钥 远程 登陆 实验 以 及 用 screen 服务 让 远程 会 话 不 再 终 断 。 
1 进程 与 服务 

o: 
Linux 操作 系统 开机 过 程 首 先 从 BIOS 开始 一 进入 ”Boot Loader“ 一 加 载 内 核 一 内 核 的 初始 化 一 启动 初始 化 进程 ， 
初始 化 进程 作为 系统 第 一 个 进程 ， 它 需要 完成 相关 的 初始 化 工作 ， 为 用 户 提供 合适 的 工作 环境 。 
红 帽 RHEL7 ZU CZ Edi T 人 人 System V init， 并 正式 采用 全 新 的 初始 化 进程 systemd。 初 
始 化 进程 systemd 使 用 了 并 发 启动 机 制 ， 所 以 开机 速度 得 到 了 不 小 的 提升 。 虽 然 systemd 已 经 表现 出 了 优势 ， 但 一 
直 有 抵制 的 呼声 : 

吐槽 1: 因 作者 Lennart Poettering 就 职 于 红 帽 ， 让 其 他 系统 的 粉丝 很 不 来 。 

吐槽 2:systemd 仅仅 可 在 linux 系统 下 和 运行， 放弃 了 BSD 用 户 。 

吐槽 3: 接 管 了 诸如 syslogd, udev, cgroup 等 等 服务 的 工作 ， 不 再 甘心 只 做 初始 化 进程 。 

"EAE 4: 使 用 systemd 后 RHEL7 系统 变化 太 大 ， 参 考 文档 又 不 多 ， 为 难 我 们 啊 ! 
不 论 怎么 吐槽 ， 既 然 红 帽 RHEL7 系统 选择 了 systemd， 原 先 的 inittab 将 已 经 不 再 起 作用 ， 也 没有 了 “运行 CUR ”这 个 概念 : 
Linux 系统 局 动 时 要 做 大 量 的 初始 化 工作 一 一 例如 挂 载 文件 系统 和 交换 分 区 ， 局 动 各 类 进程 服务 等 等 操作 ， 这 些 都 可 
以 看 作 是 一 个 个 的 单元 (Unit)， 分 析 下 nfs 服务 的 单元 配置 文件 吧 : 
[root@linuxprobe ~|# cat /etc/systemd/system/nfs.target.wants/nfs-lock.service 
[Unit] 
Description=NFS file locking service. 
// 表 示 rpcbind 服务 必须 在 nfs 服务 启动 前 已 经 运行 。 


Requires=rpcbind.service network.target 





After-network.target named.service rpcbind.service 


Before-remote-fs-pre.target 


[Service] 

Type-forking 

standardError-syslog-console 
EnvironmentFile--/etc/sysconfig/nfs 

// È li nfs 服务 前 需要 执行 的 命令 
ExecStartPre-/usr/libexec/nfs-utils/scripts/nfs-lock.preconfig 
// B 38 nfs 服务 具体 的 命令 语法 : 

ExecStart-/sbin/rpc.statd $STATDARG 

# Make sure lockd's ports are reset 
ExecStopPost--/sbin/sysctl -w fs.nfs.nlm tcpport-O fs.nfs.nlm udpport-O 
[Install] 

WantedBy-nfs.target 
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如 前 面 所 述 在 红 帽 RHEL7 系统 中 systemd 用 ”目标 (target)“ 代 蔡 了 “运行 级 别 ” 这 个 概念。 


Sysvinit 运行 级 别 Systemd 目标 名 称 作用 

0 runlevel0.target, poweroff.target 关机 

l runlevel1.target, rescue.target 单 用 户 模式 

2 runlevel2.target, multi-user.target 等 同 于 级 别 3 

3 runlevel3.target, multi-user.target 多 用 户 的 文本 界面 
4 runlevel4.target, multi-user.target 等 同 于 级 别 3 

5 runlevel5.target, graphical.target 多 用 户 的 图 形 界面 
6 runlevel6.target, reboot.target 重启 

emergency emergency .target 紧急 Shell 


将 默认 的 运行 级 别 修 改 为 “多 用 户 ， 无 图 形 模 式 ”; 

[root@linuxprobe ~|# In -sf /lib/systemd/system/multi-user.target /etc/systemd/system/default.target 
将 默认 的 运行 级 别 修 改 为 “图 形 化 模式 ”: 

[root@linuxprobe ~|# In -sf /lib/systemd/system/graphical.target /etc/systemd/system/default.target 


8.1.2 管理 服务 命令 

对 于 学 习 过 红 帽 RHEL6 系统 或 已 经 习惯 使 用 service、chkconfig 等 命令 来 管理 系统 服务 的 读者 可 能 要 郁闷 一 段 时 间 
了 ， 因 为 在 红 帽 RHEL7 系统 中 管理 服务 的 命令 是 ”systemctl“， 但 使 用 方法 大 致 相同 ， 我 们 来 做 下 对 比 吧 。 
systemctl 管理 服务 的 启动 、 重 启 、 停 止 、 重 载 、 查 看 状态 的 命令 : 


Sysvinit 命令 ( 红 帽 RHEL6 系统 ) Systemctl 命令 ( 红 帽 RHEL7 系统 ) 作用 

service foo start systemctl start foo.service 局 动 服务 

service foo restart systemctl restart foo.service 重启 服务 

service foo stop systemctl stop foo.service 停止 服务 

service foo reload systemctl reload foo.service 重新 加 载 配置 文件 〈 不 终止 服务 ) 


service foo status systemctl status foo.service 查看 服务 状态 


DARE 


HTTP://www.linuxprobe.com 


systemctl 设置 服务 的 开机 启动 、 不 启动 、 查 看 各 级 别 下 服务 启动 状态 的 命令 : 


Sysvinit 474 (2rd RHEL6 系统 ) 
chkconfig foo on 

chkconfig foo off 

chkconfig foo 


chkconfig --list 


Systemctl 命令 (Zr'"H RHELT 系统 ) 
systemctl enable foo.service 
systemctl disable foo.service 
systemctl is-enabled foo.service 


systemctl list-unit-files -type-service 
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查看 特定 服务 是 否 为 开机 自 局 动 


查看 各 个 级 别 下 服务 的 启动 与 禁用 情况 


8.1.3 监视 资源 与 管理 进程 


Linux 系统 中 时 刻 运 行 着 许 许多 多 的 进程 ， 如 果 能 够 合理 的 管理 它们 ， 绝 对 有 益 于 系统 的 性 能 优化 ， 系 统 进程 总 共有 


5 种 不 同 的 状态 : 
R 人 (运行 ): 正 在 运行 或 在 运行 队列 中 等 待 。 
S (P Br): DR P, 在 等 待 某 个 条 件 的 形成 或 接受 到 信和 号 。 
D( 不 可 中 断 ): 收 到 信号 不 唤醒 和 不 可 运行 ,进程 必须 等 待 直到 有 中 断 发 生 。 
Z:( 僵 死 ): 进 程 已 终止 ， 但 进程 描述 符 存在 ， 直 到 父 进 程 调用 wait40 系 统 调用 后 释放 。 
T:( 停 止 ): 进 程 收 到 SIGSTOP, SIGSTP, SIGTIN, SIGTOU 信号 后 停止 运行 。 

ps 命令 用 于 查看 系统 中 的 进程 状态 ， 格 式 为 : “ps [参数 ]”。 

查看 进程 与 状态 :“ps -aux” 

查找 某 个 特定 的 进程 信息 :”ps -aux | grep 进程 名 ” 


USER PID %CPU %MEM 


VSZ RSS TTY STAT START 
进程 的 进程 运算 器 WE 虚拟 内 存 使 占用 的 固定 所 在 xt ES 被 启动 的 
所 有 者 ID 号 占用 率 用 率 用 量 ( 单 位 内 存量 (单位 终端 状态 时 间 
Æ KB) 是 KB) 

参数 作用 

-à 显示 所 有 的 进程 (包括 其 他 用 户 的 ) 

-u 用 户 以 及 其 他 详细 信息 

-X 显示 没有 控制 终端 的 进程 
top 命令 用 于 监视 进程 的 活动 与 系统 负载 ， 格 式 为 : "top . 


这 个 top 命令 可 真 的 是 太 厉害 了 ， 完 全 可 以 比喻 成 是 “强化 版 的 Windows 任务 管理 器 ” 
前 面 的 五 行为 系统 整体 的 统计 信息 ， 下 面 我 们 来 逐 行 的 讲解 : 

第 1 行 :系统 时 间 ， 和 运行 时 间 ， 登 陆 用 户 数 ， 系 统 负载 (分 别 为 1 分 钟 、5 分 钟 、15 分 钟 的 平均 值 )。 
第 2 行 :进程 总 数 ， 和 运行 中 的 ， 睡 眠 中 的 ， 停 止 的 ， 人 僵尸 的 。 

第 3 行 :用 户 占 用 资源 ， 系 统 内 核 占 用 资源 ， 改 变 过 优先 级 的 进程 ， 空 闲 的 资源 ， 等 待 输入 输出 的 时 间 。 
此 行 数据 均 为 CPU 数据 并 以 百分比 格式 显示 ， 例 如 ”99.2 id” 意 味 着 有 99.2% 的 CPU 资源 正在 空闲 中 。 
第 4 行 :物理 内 存 总 量 ， 使 用 量 ， 空 闪 量 ， 作 为 内 核 缓存 的 内 存量 。 


A^ 


第 5 行 :虚拟 内 存 总 量 ， 使 用 量 ， 空 闲 量 ， 已 被 提前 加 载 的 内 存 数据 。 


TIME 


实际 使 用 
CPU 的 时 
a 


， 运行 界面 见 右 图 : 





COMMAND 
命令 名 称 与 
参数 
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进程 的 信息 区 中 包含 了 各 个 进程 的 详细 信息 ， 含 义 如 下 : 
PID: 进 程 ID 号 
USER: 进 程 的 所 有 者 
PR: 优 先 级 
NI 优先 级 〈 负 值 表示 优先 级 更 高 ) 
VIRT: 虚 拟 内 存 使 用 量 
RES: 物 理 内 存 使 用 量 
SHR: 共 享 内 存 大 小 
SHEERS (上 文中 有 提 到 ) 
%CPU: 运 算 器 的 使 用 百分比 
%MEM: 内 存 的 使 用 百分比 
TIME+: 使 用 CPU 的 时 间 ( 单 位 是 1/100 £9) 
COMMAND: 命 令 名 称 
pidof 命令 用 于 查询 某 个 特定 程序 的 进程 PID 值 ， 格 式 为 : “pidof [参数 ] [程序 名 称 ]”。 
查询 ”sshd” 进 程 的 PID 值 :”pidof sshd” 
kill 命令 用 于 终止 茶 个 特定 PID 号 码 的 进程 ， 格 式 为 : “kil [参数 ] [进程 PID 号 ]”。 
强制 终止 PID 为 4674 的 进程 :”kill -9 4674 
@@ 其 中 的 ”-9” 代 表 强 制 终止 (SIGKILL)， 也 是 最 常用 的 一 种 信号 参数 ， 查 看 全 部 请 执行 ”kill - 
killall 命令 用 于 终止 茶 个 特定 名 称 的 所 有 进程 ， 格 式 为 : “killall [参数 ] [进程 名 称 ]”。 
终止 名 称 为 ”sshd” 的 进程 :”killall sshd” 
在 终端 中 运行 一 个 命令 后 如 果 想 立即 的 停止 它 ， 可 以 使 用 组 合 键 ”Ctrl+c“， 这 样 命令 的 进程 将 会 彻底 的 被 终止 。 
但 还 有 一 种 玩法 是 ”Ctrltz“， 它 是 将 命令 的 进程 暂停 (也 叫 挂 载 到 后 全 或 扔 到 后 台 )， 先 来 看 两 条 命令 吧 : 
这 条 命令 会 每 秒 向 家 目录 中 的 jobs.txt 中 追加 一 个 字符 串 : 
[root@linuxprobe ~]# (while true ;do echo -n " working " >> -/jobs.txt;sleep 1 ;done;) 
自动 刷新 查看 文件 内 容 的 变化 : 
[root@linuxprobe ~|# tail -f ^/jobs.txt 
模拟 训练 : 试 试 ”Ctrl+z”， 学 习 jobs、bg 和 fg 命令 。 
开始 执行 写 入 命令 : 
[root@linuxprobe ~]# (while true ;do echo -n " working " >> -/jobs.txt;sleep 1 ;done;) 
确认 一 直 在 被 写 入 字符 : 
[root@linuxprobe ~|# tail -f ~/jobs.txt 
敲 击 ”ctrltz“ 后 ， 这 条 命令 的 进程 被 暂停 了 (另外 的 终端 中 不 再 被 追加 内 容 ): 
[root@linuxprobe ~]# (while true ;do echo -n " working " >> -/jobs.txt;sleep 1 ;done;) 
^ 
[1]+ Stopped ( while true; do 








echo -n " working " >> -/jobs.txt; sleep 1; 

done ) 

使 用 jobs 命令 可 以 查看 到 所 有 在 后 全 运行 着 的 进程 : 

[root@linuxprobe ~|# jobs 

[1]+ Stopped ( while true; do 

echo -n " working " >> -/jobs.txt; sleep 1; 

done ) 

运行 bg 命令 让 后 合 的 程序 继续 执行 ， 现 在 后 人 台中 只 有 一 个 进程 ， 所 以 省 略 了 编号 ， 完 整 格式 应 为 ”bg 1 “: 
[root@linuxprobe ~|# bg 
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[1] ( while true; do 

echo -n " working " >> -/jobs.txt; sleep 1; 

done ) 

运行 从 命令 将 后 台 的 进程 再 调 回 前 全 ， 程 序 依然 在 运行 ， 此 时 你 可 以 敲 击 组 合 键 ”ctrltc“ 啦 : 
[root@linuxprobe ~|# fg 





( while true; do 

echo -n " working " >> -/jobs.txt; sleep 1; 

done )& 

有 些 命令 在 执行 时 会 不 断 的 在 终端 上 输出 信息 ， 影 响 到 我 们 继续 输入 命令 了 ， 此 时 便 可 以 在 这 条 命令 后 面 添 加 
个 & “符号 ,那么 从 一 开始 执行 该 命令 就 会 是 在 后 台 执 行 〈 丰 是 在 后 台 暂 停 ， 而 是 在 运行 的 )。 

8.2 配置 网 卡 连接 网 络 

8.2.1 配置 网 卡 参数 

本 实验 需要 两 全 虚拟 主机 来 完成 ， 分 别 是 : 


主机 名 称 操作 系统 IP 地 址 


本 地 主机 红 帆 RHEL7 操作 系统 192.168.10.10 
远程 主机 2r'"H RHEL7 操作 系统 192.168.10.20 


在 正式 配置 sshd 服务 之 前 ,我们 必须 保证 本 地 主机 与 远程 主机 之 间 数 据 是 可 以 互相 传送 的 ， 前面 在 学 习 Vim 编辑 器 
的 章节 中 修改 过 网 卡 文件 ， 本 次 使 用 图 形 工具 来 配置 网 络 ， 效 果 是 一 样 的 。 
第 1 步 : 执行 命令 “nmtui”。 第 2 步 : 选择 要 编辑 的 网 卡 。 








root@linuxprobe:~“/Desktop "mm 
File Edit View Search Terminal Help root()linuxprobe:"/Desktop ewe: 
[rootglinuxprobe Desktop]# nmtui File Edit View Search Terminal Help 


NetworkManager TUI 


Please select an option 


Activate a connection 


Set system hostname 


Quit 





第 3 步 : 编辑 网 卡 信息 。 第 4 步 : 将 网 卡 的 IPv4 配置 项 设置 成 手动 。 


root@linuxprobe:~/Desktop escis 








root(9)linuxprobe:"/Desktop [js 
File Edit View Search Terminal Help 
Edit connection 


Profile name MEJE 
Device SOMOS EE VETERA: 


Ethernet «Add» 
eno16777736 


«Delete» 


= ETHERNET 


= IPv4 CONFIGURATION 
= IPv6 CONFIGURATION «Automatic» 


[ ] Automatically connect 


[X] Available to all users 


«Cancel» «0K» 


«Quit» 





(Linux SL i oU A SE 
9 529: Wow Ipv4 配置 项 右 侧 的 (Show)。 


root@linuxprobe:~/Desktop 





um | "Nu | X| 
File Edit View Search Terminal Help 
Edit connection 


Profile name Gees 
Device (MCIeR 


ETHERNET 


IPv4 CONFIGURATION «Manual» 
IPv6 CONFIGURATION «Automatic» 


] Automatically connect 


[X] Available to all users 


«Cancel» «OK» 


第 7 步 : Wu T M ty (OK). 
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第 63: 填 入 IP 地 址 信息 


No 





um | | 


root@linuxprobe:~/Desktop 
File Edit View Search Terminal Help 


Edit connection 


Profile name JAITA 
Device 


= ETHERNET 


IPv4 CONFIGURATION «Manual» 
Addresses [EVN OR Op 
Add -> 
Gateway MEI 
DNS servers «Add...» 
Search domains «Add...» 


«Remove» 


Routing (No custom routes) «Edit...» 
[ ] Never use this network for default route 


[X] Require IPv4 addressing for this connection 


第 8 步 : 确认 信息 填写 正确 后 退出 。 





BHEE 


root@linuxprobe:~/Desktop 
File Edit View Search Terminal Help 


Edit connection 


Addresses IEVAS LIFAL! 
<Add...> 


Gateway eO 
DNS servers «Add...» 


Search domains «Add...» 


«Remove» 


Routing (No custom routes) «Edit...» 
[ ] Never use this network for default route 


[X] Require IPv4 addressing for this connection 


z IPv6 CONFIGURATION «Automatic» 


[ ] Automatically connect 
[X] Available to all users 








RX packets 112 bytes 
RX errors © dropped 
TX packets 54 bytes 
TX errors © dropped 


rootplinuxprobe:7/Desktop 
File Edt View Search Terminai Help 
[root(flinuxprobe Desktop]f netu: 

























59273«P ,LOOPBACK RUNN 
inet 127.0.0.1 netnma 
inet6 ::1 prefixlen 
loop txqueuelen 6 

RX packets 902 bytes 
RX errors 8 dropped 
TX packets 902 bytes 
TX errors 8 dropped 


nuxprobe Desktop]4 pi 
.168.10.18 (192.168.1 
fros 192.168.10.10: 
from 192.168.10.10: 


168.10.10 ping statis 
& transmitted, 2 reca 
avg/max/mdev = 0.884/ 
nuxprobe Desktop]s 









root()linuxprobe:*/Desktop ea X| 


File Edit View Search Terminal Help 


Ethernet 
eno16777736 


<Add> 
carbo s sss 


«Delete» 
























ethor 00:0c :29:20b:0a:4f mmm BG 4 tmm mt 
RX packets 112 bytes 
RX errors © dropped 
TX packets 54 bytes 
TX errors © dropped 


roctQplinuxprobe:7/Desktop 
Search Terminal Heip 





File Edt View 


6=73<UP , LOOPBACK , RUNN 
inet 127.0.9.1 netnma 
inet6 ::1 prefixlen 
loop txqueuelen © (I 
RX packets 902 bytes 
RX errors 8 dropped 
TX packets 902 bytes 
TX errors 8 dropped 





nuxprobe Desktop]4 pi 
.168.10.18 (192.168.1 
fros 192.168.10.10: 
from 192.168.10.10: 


168.10.18 ping statis 
$8 transmitted, 2 rece 
avg/max/mdev = 0.884/ 
nuxprobe Desktop]4 
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第 11 步 : 将 此 网 卡 成 功 的 激活 。 第 12 步 : 通信 测试 。 


40 di Mon 19:30 Wions Places inal *« di Mon 19:30 


rootg)linuxprobe:*/Desktop 


File i View Search Terminal Hel 
[ro top]# ping 19 V 168.10.10 
PING 192.168. 16.18 (192.168. 18.10) 56(84) bytes o 
from 192.168.10.10: ic mp5 eq-] ttL=64 a e. 2i4 ms 
rom 192.168.10.10: icmp seq*2 ttl=64 20.181 ms 
bytes from 192.168.10.10: icmp seq-3 ttl-64 tine a. 163 ms 
es from 192.168.10.10: icmp seq-4 ttl-64 time=0,098 ms 





第 193»: 请 使 用 mmtui 工 具 配 置 后 仍然 需要 修改 网 卡 配 置 文件 设置 "ONBOOT=yes 。 


— 
root(9)linuxprobe:*/Desktop lesus nii n 


File Edit View Search Terminal Help 
"YPE-Ethernet 

300TPROTO-none 

IAME=eno16777736 

JNBOOT=yes 

)NS1=192.168.19.1 四 
-PADDRO=192.168.10.10 

REFIX0-24 

3ATEWAYO-192.168.10.1 

)EFROUTE-yes 

.PV4 FAILURE FATAL-no 

.PV6INIT-no 

JUID213756690-ac77 -b776-4fcl-f5535cee6f16 


5,18 All 


当 您 按照 上 述 步骤 配 置 完 网 卡 后 在 本 地 主机 执行 ”ping 192.168.10.20“ 来 检测 网 络 是 否 已 经 配置 妥当 。 
8.2.2 查看 网 卡 信息 

nmcli 是 一 款 能 够 方便 我 们 配置 网 络 的 工具 ， 能 够 轻松 的 查看 网 卡 信息 或 网 络 状态 : 
查看 网 卡 的 配置 信息 : 


[rootelinuxprobe -]* nmcli connection show 


NAME (网 卡 名 称 ) UUID (唯一 识别 码 ) TYPE (网 卡 类 型 ) DEVICE (设备 ) 
enol6777736 13756690-ac77-b776-4fc1-f5535cee6f16 802-3-ethernet enol6 777736 
查看 网 卡 的 连接 状态 

[root@linuxprobe an nmcli device status 

DEVICE (设备 ) TYPE (类 型 ) STATE (状态 ) CONNECTION (连接 ) 
eno16777736 ethernet connected eno16777736 

lo loopback unmanaged -- 


如 果 想 看 网 卡 设备 ”eno16777736“ 的 详细 信息 ， 只 需 执 行 ”nmcli con show eno16777736“， 信 息 相 当 详细 哦 ! 
对 了 ! 网 卡 还 支持 了 简单 实用 的 多 会 话 功能 了 呢 ， 例 如 将 Linux 系统 安装 到 了 笔记 本 上 ， 上 车 合 到 公司 工作 时 是 要 指 
定 IP 地 址 ， 而 晚上 回 到 家 是 DHCP 分 配 IP 地 址 ， 这 样 改 来 改 去 真 的 很 麻烦 ， 所 以 我 们 可 以 设置 多 个 网 卡 会 话 ， 在 不 
同 的 环境 激活 就 可 以 了 ， 但 每 个 网 卡 同 时 仅 能 有 一 个 会 话 是 激活 状态 的 。 
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我 们 可 以 将 在 公司 的 会 话 叫 做 ”company“, 在 家 里 的 会 话 叫 做 ”house“， 记 住 了 哦 ， 现 在 配置 ! 
添加 公司 会 话 ， 人 参数 为 connection( 会 话 ),add( 添 加 动作 ),con-name( 会 话 名 称 ),type( 网 卡 类 型 ),ifname( 网 卡 名 称 ): 
[root@linuxprobe ~|# nmcli connection add con-name company type ethernet ifname eno16777736 
Connection company' (346677a8-59b0-4c8a-ae1 5-2a9f3e502f33) successfully added. 
添加 居家 会 话 : 
[root@linuxprobe ~|# nmcli connection add con-name house ifname eno16777736 autoconnect no type ethernet 
ip4 192.168.10.10/24 gw4 192.168.10.1 
Connection house (03£366a3-04b6-4545-a996-f10d 7 bffbf64) successfully added. 


局 用 居家 会 话 : 
[root@linuxprobe -]* nmcli connection up house 
查看 会 话 的 信息 : 
[root@linuxprobe ~|# nmcli connection show 
NAME (名 称 ) UUID (唯一 标识 符 ) TYPE (B|-R3E28) DEVICE (设备 ) 
house 03f366a3-04b6-4545-a996-f10d7bffbf64 802-3-ethernet -- 
company 3a667 7a8-59b0-4c8a-ae15-2a9f3e502f33 802-3-ethernet -- 
eno16777736 13756690-ac77-b776-4fc1-f5535cee6f16 802-3-ethernet enol6777736 


实用 nmcli 命令 创建 或 修改 的 会 话 配置 信息 回 自 动 保存 为 网 卡 配置 文件 ， 重 局 后 依然 有 效 。 


8.2.3 绑 定 两 块 网 卡 
我 们 可 以 将 多 块 网 卡 多 绪 定 操作 , 不 仅 能 够 提高 带宽 的 速率 而 且 让 其 中 一 块 网 卡 出 现 故障 时 , 不 会 让 网 络 完 全 中 断 。 
第 1 步 :在 虚拟 机 中 额外 添加 一 块 网 卡 。 


编辑 虚拟 机 设置 ， 添 加 网 络 适 配 天 : 保证 两 块 网 卡 的 连接 类 型 都 是 相同 的 : 
i um " m pr TERRINE PFARA 4 NB 网 络 适配器 类 型 





E a 您 要 添加 何 种 类 型 的 网 络 适配器 ? 
=a -—] n 4 
M 





ee aara mn -2 网 络 连 接 
ain ^ 桥接 模式 (R): 直接 连接 到 物理 网 络 
复制 物理 了 网络 连 接 状 访 (P) 
NAT REW: 用 于 共享 主机 的 P e 





v din = N id oy ; : EET Hpo: 
E | | — na 自 定义 (C): 特定 虚拟 网 络 需要 保证 两 块 网 络 的 类 类 型 都 是 相同 的 。 
VMnet0 (自动 桥接) 





设备 状态 
v| 启动 时 连接 (D) 











| < 上 =- 步 B) | | 守成 ]| 








查看 两 块 网 卡 的 名 称 : 

[rootelinuxprobe ~]# ifconfig | grep flags 

eno16777728: flags-4163»UP,BROADCAST,RUNNING,MULTICAST» mtu 1500 
eno33554968: flags-4163»2UP,BROADCAST,RUNNING,MULTICAST» mtu 1500 
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第 2 步 :配置 网 卡 的 参数 : 
设置 第 1 块 网 卡 为 从 卡 ， 而 主 卡 为 bond0: 
[root@linuxprobe ~|# vim /etc/sysconfig/network-scripts/ifcfg-eno167 77728 
TYPE-Bthernet 
BOOTPROTO-none 
ONBOOT-yes 
USERCTL-no 
DEVICEzeno16777728 
MASTER-bondO 
SLAVE-yes 
相似 的 方法 设置 第 2 块 网 卡 ， 主 卡 依然 为 bond0: 
[root@linuxprobe ~|# vim /etc/sysconfig/network-scripts/ifcfg-eno33554968 
TYPE=Ethernet 
BOOTPROTO-none 
ONBOOT-yes 
USERCTL-no 
DEVICEzeno33554968 
MASTER-bondO 
SLAVE-yes 


创建 绑 定 网 卡 的 配置 文件 并 指定 IP 地 址 等 信息 : 
[root@linuxprobe ~|# vim /etc/sysconfig/network-scripts/ifcfg-bondO 
TYPE-Ethernet 
BOOTPROTO-none 
ONBOOT-yes 
USERCTL-no 
DEVICE-bondO 
IPADDR-192.168.10.10 
PREFIX-24 
DN$-192.168.10.1 
NM, CONTROLLED-no 
第 3 步 :让 内 核 支持 Bonding 的 驱动。 
为 bond0 网 卡 添加 bonding 驱动 的 支持 : 
[rootelinuxprobe ~|# vim /etc/modprobe.d/bond.conf 
alias bondO bonding 
options bondO miimon-100 mode-6 
常用 的 绑 定 驱 动 模式 有 : 
mode=0 平衡 负载 模式 :平时 两 块 网 卡 均 工作 ， 且 自动 备 援 ， 采 用 Switch 支援。 
mode=1 自动 备 援 模式 :平时 只 有 一 块 网 卡 工作 ， 故 障 后 自动 蔡 换 为 为 外 的 网 卡 。 
mode=6: 平 衡 负 载 模式 :平时 两 块 网卡 均 工作 ， 且 自动 备 援 ， 无 须 设置 Switch 支援 。 
第 4 步 :重新 加 载 网 卡 后 绑 定 即 成 功 。 
重新 加 载 网 卡 信息 : 


[root@linuxprobe ~|# Systemctl restart network 
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8.2.4 查看 端口 状态 
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有 经 验 的 管理 员 都 会 在 配置 网 卡 后 顺手 执行 一 条 ping 命令 来 检测 网 络 的 可 用 性 ， 并 且 以 前 大 家 习惯 用 netstat 命令 
查看 本 机 的 端口 连接 状态 ， 这 条 命令 也 已 经 在 红 帽 RHEL7 系统 中 则 被 效率 更 高 、 显 示 信 息 更 多 的 ss 命令 蔡 代 了 。 
ss 命令 用 于 查看 本 机 的 端口 连接 状态 ， 具 体 的 参数 : 


参数 


=S 


查看 监听 状态 中 的 套 接 字 : 


[rootelinuxprobe ~|# ss -ntl 


state Recv-Q 
LISTEN O 
LISTEN 0 
LISTEN O 
LISTEN O 


LISTEN O 


作用 

显示 所 有 的 套 接 字 

显示 所 有 连接 状态 的 套 接 字 
显示 详细 的 套 接 字 信息 

显示 套 接 字 的 内 存 使 用 情况 
显示 套 接 字 的 进程 信息 

显示 ipv4 的 套 接 字 信息 
显示 ipv6 的 套 接 字 信息 

仅 显 示 tcp 的 套 接 字 信 息 
仅 显 示 udp 的 套 接 字 信 息 
不 解析 主机 名 (提升 速度 ) 


查看 概述 


Send-Q Local Address:Port 
100 127.0.0.1:25 

128 20555218 

100 T22 

128 TOOL 
128 ::60863 


Peer Address:Port 


炒米 


炒米 


炒米 


炒米 


炒米 
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查看 进程 名 和 PID 号 码 : 


[root@linuxprobe ~|# ss -s 


Total: 1091 (kernel 1173) 


TCP: 11 (estab O, closed 1, orphaned O, synrecv O, timewait 0/0), ports O 


Transport Total Ill: IPv6 
i 1173 

RAW 0 O O 
UDP 13 8 5 

10 5 5 
INET 23 13 10 
FRAG O O O 


如 果 我 们 希望 查看 IP 数据 包 从 本 机 到 另外 一 台电 脑 经 过 的 路 由 信息 ， 那 就 可 以 用 tracepath 命令 啦 ! 

这 里 格式 非常 简单 :”tracepath 目标 地 址 (域名 或 IP 地 址 均 可 )“， 确 实 没什么 可 讲 。 

[rootelinuxprobe ~|# tracepath www.linuxprobe.com 

ib E JG ELS] (Linux 就 该 这 么 学 》 的 服务 器 中 数据 包 经 过 了 那些 路 由 器 ， 般 来 讲 路 由 跳 数 越 少 ， 延 时 越 低 ， 访 
问 速 度 越 快 哦 ! 


8.3 远程 控制 服务 

8.3.1 了 解 sshd 服务 

SSH(Secure Shel) 是 一 种 能 够 提供 安全 远程 登陆 会 话 的 协议 ， 假 如 希望 在 远程 Linux 系统 中 执行 命令 ， 就 是 通过 这 个 
协议 啦 ! 

为 什么 要 强调 SSH 协议 是 安全 的 呢 ? 因为 比如 ftp. telnet 等 服务 在 网 络 上 不 会 对 口令 或 数据 进行 加 密 ， 那 么 骇 客 们 
真 的 非常 容易 就 可 以 截获 这 些 信息 (尤其 是 同 局 域 网 内 的 用 户 )， 因 此 它们 在 本 质 是 就 是 不 安全 的 。 

sshd 服务 提供 两 种 安全 验证 的 方法 : 

基于 口令 的 安全 验证 :经 过 验证 帐号 与 密码 即 可 登陆 到 远程 主机 。 

基于 密 铀 的 安全 验证 :需要 在 本 地 生成 ” 密 钥 对 “后 将 公 钥 传送 至 服务 端 ， 进 行 公共 密 钥 的 比较 。 

sshd 服务 的 配置 文件 解析 : 

[root@linuxprobe ~|# cat /etc/ssh/sshd config 


参数 作用 

#Port 22 默认 的 sshd 服务 端口 。 
#ListenAddress 0.0.0.0 设 定 sshd 服务 端 监听 的 IP 地 址 。 
#Protocol 2 SSH 协议 的 版 本 号 。 


#HostKey /etc/ssh/ssh_host_key SSH 协议 版 本 为 1 时 ， 私 钥 存放 的 位 置 。 


第 133 页 


(Linux 束 该 这 么 学 》  HTTP://www.linuxprobe.com 
HostKey /etc/ssh/ssh_host_rsa_key SSH 协议 版 本 为 2 时 ，RSA 私 钥 存放 的 位 置 。 
#HostKey /etc/ssh/ssh host. dsa key SSH 协议 版 本 为 2 时 ，DSA 私 钥 存放 的 位 置 。 
#PermitRootLogin yes 设 定 是 否 允 许 root 用 户 直 接 登 录 。 
#StrictModes yes 当 远 程 用 户 私 钥 改变 时 则 直接 拒绝 连接 。 
#MaxAuthTries 6 最 大 密码 尝试 次 数 
#MaxSessions 10 最 大 终端 数 
#PasswordAuthentication yes 是 否 允 许 密码 验证 
#PermitEmptyPasswords no 是 否 允 许 空 密码 登陆 (很 不 安全 ) 


若 您 想 要 修改 服务 的 配置 参数 ， 请 一 定 要 记得 删除 参数 前 面 的 注释 符 ” 划 “并重 局 服务 才 生 效 的 。 
在 远程 主机 上 启动 sshd 服务 并 加 入 到 开机 启动 项 : 
[root@localhost ~|# Systemctl start sshd 
[root@localhost ~|# Systemctl enable sshd 


8.3.2 使 用 ssh 命令 
ssh 命令 用 于 远程 管理 Linux 主机 ， 格 式 为 : “ssh [参数 ] 主机 ”。 


参数 作用 
-p 指定 连接 端口 (默认 为 22) 
显示 连接 过 程 的 详细 信息 


[root&localhost ~|# ssh 192.168.10.20 

The authenticity of host '192.168.10.20 (192.168.10.20)' can't be established. 
ECDSA key fingerprint is 4£a7:91:9e:8d:6£Fb9:48:02:32:61:95:48:ed:1e:3f. 

Are you sure you want to continue connecting (yes/no)? yes 

Warning: Permanently added '192.168.10.20' (ECDSA) to the list of known hosts. 
root? 192.168.10.20's password: 此 处 输入 远程 主机 root 用 户 的 密码 

Last login: Wed Apr 15 15:54:21 2015 from 192.168.10.10 

[root?]ocalhost ~|# 

8.9.8 安全 密 钥 验证 

使 用 密码 验证 终归 会 存在 着 被 驴 客 暴力 破解 或 响 探 监听 的 危险 ， 其 实 也 可 以 让 ssh 服务 基于 密 铀 进行 安全 验证 〈 可 
无 需 密 码 验 证 )。 

第 1 步 :在 本 地 主机 中 生成 “ 密 钥 对 ”并 将 公 铀 传送 到 远程 主机 中 : 
[root@linuxprobe ~|# ssh-keygen 

Generating public/private rsa key pair. 

Enter file in which to save the key (/root/.ssHVid_rsaj: 回 车 或 设置 密 钥 的 存储 路 径 
Created directory /Toot/.Ssh . 

Enter passphrase (empty for no passphrase): 回 车 或 设置 密 销 的 密码 


DASS 
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Enter same passphrase again: 

Your identification has been saved in /root/.ssh/id, rsa. 

Your public key has been saved in /root/.ssh/id. rsa.pub. 

The key fingerprint is: 
40:32:48:18:e4:ac:cO:c3:c1:ba:7c:6c:3a:a8:b5:22 rootelinuxprobe.com 
The key's randomart image is: 

+--| RSA 2048|----+ 


将 生成 好 的 公 钥 密 钥 传 送 至 远程 主机 : 

[root@linuxprobe ~|# ssh-copy-id 192.168.10.20 

The authenticity of host 192.168.10.20 (192.168.10.20) can't be established. 
ECDSA key fingerprint is 4£a7:91:9e:8d:6£Fb9:48:02:32:61:95:48:ed:1e:3f. 


Are you sure you want to continue connecting (yes/no)? yes 
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/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed 


/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed — if you are prompted now it is to install the new keys 


root 1 92.168.10.20's password: 
Number of key(s) added: 1 


Now try logging into the machine, with: "ssh 192.168.10.20" 

and check to make sure that only the key(s) you wanted were added. 

第 2 步 :首先 要 在 远程 主机 中 修改 sshd 服务 的 配置 文件 〈 修 改 后 记得 重启 服务 ) : 
第 1 步 : 编辑 ssh 服务 程序 主 配置 文件 。 


root@localhost:~ 


File Edit View Search Terminal Help 
[rootülocalhost ~]# vim /etc/ssh/sshd config 国 
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第 2 步 : 将 允许 密码 验证 的 参数 设置 为 no。 


root(g)localhost:* | E | [z] | x 





File Edit View Search Terminal Help 


£IgnoreUserKnownHosts no 
€ Don't read the user's -/.rhosts and -/.shosts files 
£IgnoreRhosts yes 


€ To disable tunneled clear text passwords, change to no here! 
fPasswordAuthentication yes 


ZPermitEmptyPasswords no 
2asswordAuthentication no j 
€ Change to no to disable s/key passwords 


£ChallengeResponseAuthentication yes 
zhallengeResponseAuthentication no 


€ Kerberos options 
£KerberosAuthentication no 
fKerberosOrLocalPasswd yes 
fKerberosTicketCleanup yes 
fKerberosGetAFSToken no 
fKerberosUseKuserok yes 


€ GSSAPI options 
fGSSAPIAuthentication no 
3SSAPIAuthentication yes 





-- INSERT -- 78,26 52% 
第 3 步 : 将 允许 密 钥 验 证 的 参数 设置 为 yes。 
root@localhost:~ E | Bu | x 


File Edit View Search Terminal Help 
£LogLevel INFO 


# Authentication: 
£LoginGraceTime 2m 
£PermitRootLogin yes 
£StrictModes yes 


£MaxAuthTries 6 
£MaxSessions 10 


CTDTTUTHITUSUTYSUT Tn 


# The default is to check both .ssh/authorized keys and .ssh/authorized keys2 
# but this is overridden so installations will only check .ssh/authorized keys 
AuthorizedKeysFile .ssh/authorized keys 

£AuthorizedPrincipalsFile none 


£AuthorizedKeysCommand none 
£AuthorizedKeysCommandUser nobody 


# For this to work you will also need host keys in /etc/ssh/ssh known hosts 


第 4 步 : 保存 并 退出 配置 文件 。 


root@localhost:~ EN: 





File Edit View Search Terminal Help 
fLogLevel INFO 

# Authentication: 

fLoginGraceTime 2m 
fPermitRootLogin yes 

fStrictModes yes 

fMaxAuthTries 6 

fMaxSessions 10 


fRSAAuthentication yes 
?ubkeyAuthentication yes 


# The default is to check both .ssh/authorized keys and .ssh/authorized keys2 
f but this is overridden so installations will only check .ssh/authorized keys 
iuthorizedKeysFile .ssh/authorized keys 


fAuthorizedPrincipalsFile none 


f£AuthorizedKeysCommand none 
f£AuthorizedKeysCommandUser nobody 


t£ For this to work you will also need host keys in /etc/ssh/ssh known hosts 


:wd! 国 
第 5 步 : 重启 ssh 服务 程序 后 即 可 生效 。 


root@localhost:~ pg iL" | at 





File Edit View Search Terminal Help 


;rootülocalhost ~]# vim /etc/ssh/sshd config 
.rootülocalhost ~]# systemctl restart sshd 
.rootülocalhost -]£ 
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第 3 步 :最 后 来 党 试 无 需 密码 的 远程 登录 吧 : 
[root@linuxprobe ~|# ssh 192.168.10.20 
Last login: Mon Apr 13 19:34:13 2015 
E 
要 想 将 一 些 文件 通过 网 络 传送 给 其 他 主机 ， 又 恰好 两 台 主 机 都 是 Linux 系统 ， 我 们 便 可 以 直接 用 scp 命令 传输 文件 
到 另外 一 个 
scp 命令 用 于 在 圆 络 中 安全 的 传输 文件 ， 格 式 为 : “scp [参数 ] 本 地 文件 远程 帐户 @ 远 程 IP 地 址 :远程 目录 ”。 


参数 作用 


v 显示 详细 的 连接 进度 

-P 指定 远程 主机 的 sshd 端口 号 
T 传送 文件 夹 时 请 加 此 参数 

-6 使 用 ipv6 协议 


将 本 地 文件 /root/out.txt 传送 到 远程 主机 的 /home 目录 : 

[root@linuxprobe ~|# scp /root/out.txt 192.168.10.20:/home 
root@192.168.10.20's password: 此 处 输入 远程 主机 中 root 用 户 的 密码 

out.txt 10096 0 O.OKB/s 00:00 

传送 下 文件 夹 并 指定 远程 用 户 : 

[root@linuxprobe ~|# scp -r results/ linuxprobe@192.168.10.20:/home 
linuxprobe@192.168.10.20’'s password: 此 处 输入 远程 主机 中 linuxprobe 用 户 的 密码 
强大 的 scp 命令 还 可 以 将 远程 主机 的 文件 传输 到 本 地 呢 ， 格 式 为 ”scp [参数 | 远程 用 户 @ 远 程 IP 地 址 :远程 文件 本 
地 目录 。 

将 远程 主机 的 /etc/issue.net 文件 下 载 到 本 地 的 /root AXR: 

[root@linuxprobe ~|# scp linuxprobe@192.168.10.20:/etc/issue.net /root 
linuxprobe 192.168.10.20's password: 

issue.net 10096 22 O.0KB/s 00:00 


8.4 不 间断 会 话 服务 
8.4.1 了 解 Screen 服务 

NN DAMNUM EM Ag CX Hl, BERAE LU e s PHI. Zu 
E 通常 我 们 都 会 新 开 一 个 连接 窗口 再 继续 工作 ， 并 且 中 途 不 能 关闭 窗口 或 
断 开 链接 (也 包括 网 络 不 稳定 的 情况 )， 否 则 这 个 任务 就 会 被 中 断 ， 还 要 重新 开始 。 
Screen 便 是 为 了 解决 上 述 问 题 而 设计 的 ,用 户 可 以 通过 使 用 Screen 命令 同时 控制 多 个 命令 行 会 话 并 自由 切换 ,特点 
有 : 
会 话 恢 复 :即便 网 络 中 断 ， 也 可 让 会 话 随时 恢复 ， 用 户 不 会 失去 对 命令 行 的 控制 。 
多 窗口 :每 个 会 话 都 是 独立 运行 的 ， 拥 有 独立 的 编号 、 输 入 输出 和 窗口 缓存 。 
会 话 共享 :可 以 使 多 个 用 户 从 不 同 终端 使 用 同一 个 会 话 ， 也 可 让 他 们 看 到 完全 相同 的 输出 。 
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8.4.2 掌握 命令 参数 
红 帽 RHEL7 系统 中 默认 没有 包含 screen， 需 要 先 来 安装 。 
使 用 yum 命令 安装 screen 程序 包 : 
[root@linuxprobe ~|# yum install screen 


Loaded plugins: langpacks, product-id, subscription-manager 


Installing: 
screen x86. 64 4.1.0-0.19.2012031 4git3c29406.el7 rhel7 551 k 


Complete! 
screen 命令 的 常用 命令 参数 包括 : 
参数 作用 
让 所 有 视窗 自动 调整 适应 当前 终端 机 的 大 小 。 
-d < 会 话 名 称 > 将 指定 的 Screen 会 话 离线 。 
-T< 会 话 名 称 > 将 指定 的 screen 会 话 恢复 。 
-h< 行 数 > 指定 视窗 的 缓冲 区 行 数 。 
S-AE 4 k> 指定 screen 会 话 的 名 称 
-X 恢复 所 有 离线 的 会 话 。 
-ls 或 -list 显示 当前 的 Screen 会 话 。 
--wipe 自动 将 无 法 使 用 的 screen 会 话 删 除 。 


8.4.3 创建 与 使 用 会 话 功能 

完成 安装 后 直接 运行 screen 即 可 使 用 服务 ， 推 荐 为 每 个 会 话 都 取 一 个 名 字 ， 方 便 分 辩 。 
创建 名 称 为 backup 的 会 话 : 

[rootelinuxprobe ~|# screen -S backup 

查看 当前 已 经 存在 的 会 话 : 

[root@linuxprobe ~|# screen -ls 

There is a screen on: 

32230.backup (Attached) 

1 Socket in /var/run/screen/S-root. 

当 执 行 Screen 命令 后 会 调用 系统 默认 的 shell( 通 常 即 bash), MARZ screen 命令 后 会 立即 返回 一 个 命令 提示 符 ， 
虽然 看 起 来 与 刚刚 没有 变化 ， 但 此 时 你 已 经 进入 screen 会 话 啦 ! 

创建 一 个 会 话 ， 初 始 为 用 vim 编辑 串 写 文件 : 

[root@linuxprobe ~|# screen vim memo.txt 

退出 vim 后 会 话 也 会 被 自动 被 删除 : 


[rootelinuxprobe ~|# screen -ls 





There is a screen on: 
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32230.backup (Attached) 
1 Socket in /var/run/screen/S-root. 
新 建 一 个 叫做 linuxprobe 的 会 话 : 
[rootelinuxprobe ~|# screen -S linuxprobe 
列 出 当前 所 有 会 话 (有 两 个 哦 ) : 
[root@linuxprobe ~|# screen --ls 
There are screens on: 
32403.linuxprobe (Attached) 
32230.backup (Attached) 
2 Sockets in /var/run/screen/S-root. 
回 到 backup 会 话 中 : 
[root@linuxprobe ~|# screen -r backup 
将 linuxprobe 会 话 离 线 : 
[root@linuxprobe ~|# screen -d linuxprobe 
[remote detached from 32403.linuxprobe| 
再 次 查看 会 话 状态 (linuxprobe 已 经 被 离线 了 ): 
[root@linuxprobe ~|# screen -ls 
There are screens on: 
32403.linuxprobe (Detached) 
32230.backup (Attached) 
2 Sockets in /var/run/screen/S-root. 
将 当前 会 话 离 线 并 回 到 linuxprobe &3& : 
[rootelinuxprobe ~|# screen -d -r linuxprobe 
[32403.linuxprobe detached | 
回 到 linuxprobe 会 话 后 ， 状 态 又 改变 了 : 
[root@linuxprobe ~|# screen -ls 
There are screens on: 
32403.linuxprobe (Attached) 
32230.backup (Attached) 
2 Sockets in /var/run/screen/S-root. 
[/pre] 
总 结 来 说 :将 screen 会 话 甚至 为 暂时 断 开 (detach), 那么 会 话 窗口 中 的 程序 依然 会 执行 。 随 后 将 会 话 重新 连接 (attach)， 
那么 即 可 重新 控制 会 话 窗口 中 运行 的 程序 啦 。 
8.4.4 会 话 共享 功能 
会 话 共享 功能 是 一 件 很 酷 的 事 ， 它 让 多 个 用 尸 同时 使 用 某 一 个 会 话 ， 甚 至 计 和 您 和 对 方 看 到 相同 的 终端 内 容 ， 拓 扑 如 下 : 
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第 1 步 : 创 建 会 话 


screen -S linuxprobe 


第 2 步 :同步 终端 信息 


Screen -x 





ZT lH RHEL7 2&2 


将 两 合 Linux 3: 3,23 3E A ls] — A HC 38 - 
在 主机 A 的 终端 上 执行 创建 会 话 的 操作 : 
[rootelinuxprobe ~|# screen -S linuxprobe 
在 主机 B 的 终端 上 同步 会 话 信 息 : 
[rootelinuxprobe ~|# screen -x 


那么 此 时 终端 A 与 终端 B 上 做 的 任何 操作 ， 都 可 以 实时 同步 到 对 方 的 屏幕 上 ， 真 的 很 酷 哦 ! 
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€ 93 使 用 Apache 服务 部 署 静态 网 站 。 
章节 简 述 : 
本 章节 中 通过 对 比 目 前 热门 的 网 站 服务 程序 来 说 明 Apache 服务 程序 的 优势 ， 并 新 增 主 机 空间 选 购 技巧 小 节 。 
了 解 SELinux 服务 的 3 种 工作 模式 ， 小 心 谨慎 的 使 用 semanage 命令 和 setsebool 命令 配置 SELinux 安全 上 下 文 和 服务 监管 策略 。 
学 习 Apache 网 站 服务 程序 的 基本 部 署 、 个 人 用 户主 页 功能 以 及 基于 IP 地 址 、 主 机 名 (域名) 、 端 口号 的 虚拟 主机 功能 。 


9.1 网 站 服务 程序 

Web 网 络 服务 也 叫 WWW (World Wide Web), 一 般 是 指 能 够 让 用 户 通过 浏览 器 访问 到 互联 网 中 文档 等 资源 的 服务 。 
目前 提供 WEB 网 络 服务 的 程序 有 Apache. Nginx 或 IIS 等 等 ，Web 网 站 服务 是 被 动 程序 ， 即 只 有 接收 到 互联 网 中 
其 他 计算 机 发 出 的 请 求 后 才 会 响应 ， 然 后 Web 服务 器 才 会 使 用 HTTP( 超 文本 传输 协议 ) 或 HTTPS ( 超 文本 安全 传输 
协议 ) 将 指定 文件 传送 到 客户 机 的 浏览 器 上 。 


[8] BE $5 :8 E odi WEBA R 
— 
NO —...— 


< 
浏览 器 将 文档 传送 给 客户 浏览 器 





gU 


EX 
现在 既然 知道 了 Web 网 站 服务 的 原理 ， 那 么 都 有 那些 程序 可 以 提供 Web RAAR 又 各 自 有 何 优势 ? 来 一 起 分 析 下 吧 : 


internet information services 





Windows 系统 中 默认 Web IIS(Internet Information Services)， 这 是 一 款 图 形 化 的 网 站 管理 工具 ，IIS 程序 不 
光 能 提供 Web 网 站 服务 ， 还 能 够 提供 FTP、NMTP、SMTP 等 服务 功能 ， 但 只 能 在 Windows 系统 中 使 用 。 


 NGIN 


http server 








nginx 一 一 最 初 于 2004 F 10 月 4 日 为 俄罗斯 知名 门户 站 点 而 开发 的 ， 作 为 一 球 轻 量 级 的 网 站 服务 软件 ， 因 其 稳定 性 和 丰富 的 
功能 而 深 受 信赖 ， 但 最 最 最 被 认可 的 是 低 系 统 资源 、 占 用 内 存 少 且 并 发 能 力 强 ， 目 前 国内 如 新 浪 、 网 易 、 腾 讯 等 门户 站 均 使 用 。 
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APACHE 

-WEB SERVER - 
Apache 一 取 自 美国 印第安 人 十 著 语 Apache 帘 意 着 拥有 高 超 的 作战 第 噬 和 无 穷 的 硬性， 由 于 其 路 平台 和 安全 性 六 
泛 被 认可 且 拥 有 快速 、 可 靠 、 简 单 的 API 扩展 。 目 前 拥有 很 高 的 Web 服务 软件 市 场 占用 率 ， 全 球 使 用 最 多 的 Web 


服务 软件 ， 开 源 、 跨 平台 pops T Unixlinuxwindows 中 )。 
支持 基于 IP 或 域名 的 虚拟 主机 
支持 多 种 方式 的 HTTP 认证 
集成 代理 服务 器 模块 
安全 Socket 层 (SSL) 
能 够 实时 见识 服务 状态 与 定制 日 志 


多 种 模块 的 支持 


APAC HE 





Tomcat 一 一 属于 轻 量 级 的 Web 服务 软件 ， 一 般 用 于 开发 和 调试 JSP 代码 ， 通 党 认为 Tomcat 是 Apache 的 扩展 程 
Hs 


总 结 来 说 Nginx 程序 作为 Web 服务 软件 届 的 后 起 之 秀 已 经 通过 自身 的 努力 与 优势 赢得 了 大 批 站 长 的 信赖 ， 例 如 咱们 
(Linux 就 该 这 么 学 》 就 是 基于 Nginx 服务 部 署 的 ， 不 得 不 说 真 的 很 棒 ! 但 是 Apache 程序 作为 老牌 的 Web 服务 
软件 因 其 卓越 的 稳定 性 与 安全 性 成 为 了 红 帽 RHEL7 系统 中 默认 的 网 站 服务 软件 ， 同 样 也 是 红 帽 RHCSA 与 RHCE 考 
试 认证 中 避 不 开 的 考题 


9.2 选 购 服 务 器 主机 
网 站 是 由 域名 、 网 页 源 程序 和 主机 空间 组 成 的 ， 其 中 主机 空间 则 是 用 于 存放 网 页 源 代码 并 能 够 将 网 页 内 容 展 示 给 用 户 ， 虽 
然 本 小 节 与 Apache 服务 没有 直接 关系 ， E MS 中 搭建 网 站 并 被 顺利 访问 ， 主 机 空间 一 定 不 能 选 错 。 











第 142 页 


(Linux 就 该 这 么 学 》 HTTP://www.linuxprobe.com 


常见 的 主机 空间 包括 虚拟 主机 、VPS、 云 服务 器 与 独立 服务 器 : 
虚拟 主机 :在 一 合 服务 器 中 分 出 一 定 的 磁盘 空间 供用 户 放 置 网 站 、 存 放 数 据 等 ， 仅 提供 基础 的 网 站 访问 、 数 据 存 
放 与 传输 流量 功能 ， 能 够 极 大 的 降低 用 户 费 用 ， 也 几乎 不 需要 管理 员 维 护 除 网 站 数据 以 外 的 服务 ， 适 合 小 型 网 站 。 
VPS(Virtual Private Server): 在 一 全 服务 器 中 利用 OpenVZ, Xen X KVM 等 虚拟 化 技术 模拟 出 多 个 “主机 ”， 
每 个 主机 都 有 独立 的 IP 地 址 、 操 作 系 统 ， 实 现 不 同 VPS Zo pk ERE. WR. CPU 资源 、 进 程 与 系统 配置 间 的 完全 
隔离 ， 管 理 员 可 自由 使 用 分 配 到 的 主机 中 的 所 有 资源 ， 所 以 需要 有 一 定 的 维护 系统 的 能 力 ， 适 合 小 型 网 站 。 
云 服 务 器 (ECS): 是 一 种 整合 了 计算 、 存 储 、 网 络 ， 能够 做 到 弹性 伸缩 的 计算 服务 , 其 使 用 起 来 与 VPS 几乎 一 样 ， 
但 差别 是 云 服 务 器 建立 在 一 组 集群 服务 器 中 ， 每 个 服务 器 都 会 保存 一 个 主机 的 镜像 〈 备 份 )， 大 大 的 提升 了 安全 稳定 
性 ， 男 外 还 具备 了 灵活 性 与 扩展 性 ， 用 户 只 需 按 使 用 量 付费 的 即 可 ， 适 合 大 中 小 型 网 站 。 
独立 服务 器 :这 合 服务 器 仅 提供 给 您 使 用 ， 详 细 来 讲 又 可 以 区 分 为 租用 方式 与 托管 方式 。 
租用 方式 :用 户 只 需 将 硬件 配置 要 求 告 知 IDC 服务 商 ， 服 务 柄 硬件 设备 由 机 上 房 负 责 维护 ， 运 维 管理 员 一 般 
需要 自行 安装 相应 的 软件 并 部 署 网 站 服务 ， 租 期 可 以 为 月 、 季 、 年 ， 减 轻 了 用 户 初期 对 硬件 设备 的 投入 ， 
适合 大 中 型 网 站 。 
托管 方式 :用 户 需要 自行 购置 服务 器 后 交 给 IDC 服务 供应 商 的 机 房 进 行 管理 (缴纳 管理 服务 费用 ), 用 户 对 服 
务 鼎 硬件 配置 有 完全 的 控制 权 ， 自 主 性 强 ， 但 需要 自行 维护 、 修 理 服务 器 硬件 设备 ， 适 合 大 中 型 网 站 。 
另外 有 必要 提醒 读者 ， 选 择 主机 空间 供应 商 时 请 一 定 要 注意 看 口碑 ， 综 合 分 析 再 决定 购买 ， 某 些 供应 商会 有 限制 功 
能 、 强 制 添加 广告 、 隐 藏 扣 费 或 强制 扣 费 等 恶劣 行为 ， 一 定 一 定 不 要 上 当 ! 











9.3 安装 Apache 服务 程序 
接 下 来 就 要 试 试 动手 安装 Apache 服务 程序 路 ， 首 先 按 照 前 面 的 章节 中 已 经 学 习 过 方法 挂 载 光 盘 设 备 并 Yum 仓库 配置 文件 。 
第 1 步 :在 虚拟 机 软件 里 选中 光盘 镜像 : 







| 硬件 | 选项 






设备 
mu rir 2 GB 
L1 处 理 器 8 
ESTEE 0 GB 
















































存在 
自动 检测 










高 级 (V)… 











| we || má || 帮助 | 


第 2p yd a/media/cdrom 目录 : 


[rootelinuxprobe ~|# mkdir -p /media/cdrom 





[rootelinuxprobe ~|# mount /dev/cdrom /media/cdrom 
mount: /dev/srO is write-protected, mounting read-only 
第 3 步 :使 用 Vim 编辑 器 创建 Yum 仓库 的 配置 文件 : 
[root@linuxprobe ~|# vim /etc/yum.repos.d/rhel7.repo 
[rhel7] 

name-rhel7 

baseurl-file:///media/cdrom 

enabled-1 

gpgcheck-O 
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第 4 步 :安装 Apache 服务 程序 : 
需要 注意 apache 服务 程序 的 软件 包 名 称 叫 做 httpd， 因 此 直接 执行 yum install apache 则 是 错误 的 。 
[root@linuxprobe ~|# yum install httpd 


Loaded plugins: langpacks, product-id, subscription-manager 


Installing: 

httpd x86_64 2.4.6-17.el7 rhel7 1.2 M 
Installing for dependencies: 

apr x86_64 1.4.8-3.el7 rhel7 103 k 
apr-util x86_64 1.5.2-6.el7 rhel7 92 k 
httpd-tools x86_64 2.4.6-17.el7 rhel7 77 k 
mailcap noarch 2.1.41-2.el7 rhel7 31 k 


Transaction Summary 


Install 1 Package (+4 Dependent packages) 
Total download size: 1.5 M 

Installed size: 4.3 M 

Is this ok [y/d/N]: y 


Downloading packages: 


Complete! 

ERNEA Fe] RRI ERT ETIU GERA, ARNAR IS ECE REDRE, TEAR 

您 可 以 将 报错 信息 、 屏 幕 截图 、 硬 件 配置 与 自己 的 操作 过 程 帖 到 “ 排 错 答疑 区 ”， 专 家 们 会 为 您 1 对 1 解答 。 
第 5 步 :运行 Apache 服务 程序 并 设置 为 开机 尼 动 : 

启动 Apache 服务 程序 : 

[root@linuxprobe ~|# systemctl start httpd 

设置 为 开机 自 启动 : 

[root@linuxprobe ~|# Systemctl enable httpd 

打开 浏览 器 后 键入 http://127.0.0.1， 能 看 到 默认 页 面 了 吗 : 


[root@linuxprobe ~|# firefox 
** Applications Places Ge Web Browser 


he Apache HTTP Server on Red Hat Enterprise Linux - Mozilla Firefox 


x|*| 
3 B a 


c Ed: View History Bookmarks Tools Help 
est Page for tha Apache = ji :mod Hat 
127.0.0.1 ` 
Red Hat Enterprise Linux Test Page 
Tris page is used to west the proper operaton ot the Apache HTTP server eliter khas been i^szaled. I! vou ca^ read this page. t means ta: he Apache HTT? server 
nstalled at Wis ste is working proper 


If you are a member of the general public: 


Tre tact that you are seerq this pege indcatestnat te website you ust 
visited is ethe el encint e ergoint " 





ered by 2.4 
APACHE 














Bl ootaonesp rote Desktop e Test Page for the Apache MTTP ... 1/4 © 
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9.4 配置 服务 文件 参数 


慢 希 ! 先 别 激动 ! 刚 刚 学 会 的 安装 和 和 运行 只 是 学 习 Apache 服务 成 功 路 上 的 第 一 步 ,现在 来 了 解 下 各 个 httpd 服务 目录 


都 是 干 嘛 用 的 吧 : 
服务 目录 


配置 文件 
网 站 数据 目录 
访问 日 志 


错误 日 志 


打开 Apache 服务 程序 的 配置 文件 : 


/etc/httpd 
/etc/httpd/conf/httpd.conf 
/var/Wwww/ html 
/var/log/httpd/access log 


/var/log/httpd/error log 


[rootelinuxprobe ~|# vim /etc/httpd/conf/httpd.conf 
初次 看 到 配置 文件 可 真 的 吓 了 一 跳 ，353 行 ! 这 没有 一 周 研 究 不 完 吧 | 
其 实 吓 晓 你 们 的 了 ,所 有 以 # 号 开始 的 叫 注释 行 ， 这 些 只 是 描述 介绍 而 已 ， 真 正 的 参数 有 : 


ServerRoot 
ServerAdmin 
User 

Group 
ServerName 
DocumentRoot 
Listen 
DirectoryIndex 
ErrorLog 
CustomLog 
Timeout 


Include 


服务 目录 


管理 员 邮 箱 


运行 服务 的 用 户 


运行 服务 的 用 户 组 


网 站 服务 占 的 域名 


网 站 数据 目录 


监听 的 IP 地 址 与 端口 号 


默认 的 索引 页 页 面 


错误 日 志文 件 


访问 日 志文 件 


网 页 超时 时 间 , 默 认为 300 fh. 


需要 加 载 的 其 他 文件 
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Apche 服务 程序 的 配置 文件 内 容 分 为 三 种 类 型 : “HEEL, “ARRE, “KREE”. 


[root@linuxprobe ~]# vim /etc/httpd/conf/httpd.conf 


# This is the main Apache server configuration file 


ServerRoot "/etc/httpd" 


ServerName www.linuxprobe.com 


«IlLocation» 区 域 配置 





默认 的 网 站 数据 是 存放 在 /Var/Www/html 目录 中 的 ， 首 页 名 称 是 index.html， 来 动手 写 入 一 个 文件 替换 到 默认 页 面 吧 。 
使 用 echo 命令 将 指定 的 字符 写 入 到 网 站 数据 目录 中 的 index.html 文件 中 : 
[root@linuxprobe -]* echo "Welcome To LinuxProbe.Com" > /var/www/html/index.html 
再 次 打开 浏览 器 ， 键 入 http://127.0.0.1， 好 棒 ， 成 功 了 ! 


[root@linuxprobe ~|# firefox 


Mozilla Firefox 


这 样 一 试 果 然 成 功 了 ， 原 来 真 不 是 很 难 ， 信 心 大 涨 ! 要 想 将 网 站 数据 放 在 /home/wwwroot 目录 ， 该 如 何 操作 呢 ? 
编辑 Apache 服务 程序 的 主 配 置 文 件 : 

[root@linuxprobe ~|# vim /etc/httpd/conf/httpd.conf 

将 在 119 行 的 DocumentRoot 参数 修改 为 ”/home/wwwroot“, 再 把 在 123 行 的 ”/var/WWW“ 修 改 
为 ”/home/wwwroot “ 

建立 网 站 数据 目录 : 

[root@linuxprobe ~|# mkdir /home/wwwroot 

创建 首页 文件 : 

[root@linuxprobe ~|# echo "The New Web Directory" > /home/wwwroot/index.html 

重新 启动 Apache 服务 : 

[root&linuxprobe ~|# Systemctl restart httpd 

再 来 打开 浏览 器 看 下 效果 吧 ， 依 然 是 键入 http//127.0.0.1: 


[rootelinuxprobe ~|# firefox 


f& Applicat on» Places Q i veb Browser 4 中 Tul4:23 加 ront 
Test Page for the Apach ver on Red Hat Enterprise Linux - Mozilla Firefox 





If you are a member of the general public If you are the website administrator: 














ee 


好 奇怪 !! 为 什么 会 是 默认 页 面 ? 5 PE 页 — 或 有 问题 才 会 显示 — 服务 程序 的 默认 页 面 啊 。 
那么 进一步 来 访问 ”http://127.0.0.1/index.html“， 怎 么 样 ? RAR T? 访问 页 面 的 行为 是 被 禁止 的 。 
Forbidden 


You don t have permission to access /index.html on this server. 
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我 们 的 操作 与 刚刚 的 前 面 的 实验 一 样 啊 ， 但 这 次 的 访问 行为 会 被 禁止 呢 ? 这 就 要 先 了 解 下 SElinux 啦 。 
9.5 强制 访问 控制 安全 子 系统 


o 


SELinux 





SELinux 全 称 为 Security-Enhanced Linux 是 美国 国家 安全 局 在 Linux 社区 帮助 下 开发 的 一 个 强制 访问 控制 的 安全 子 
RA, SELinux 属于 MAC 强制 访问 控制 (Mandatory Access Control) 一 一 即 让 系统 中 的 各 个 服务 进程 都 受到 约束 ， 
即 仅 能 访问 到 所 需要 的 文件 。 
以 本 人 的 亲身 经 历 不 得 不 说 国内 很 多 运 维 人 员 对 SELinux 的 理解 不 深 ， 导 致 该 功能 在 很 多 服务 器 中 直接 被 禁用 。 
A: enforcing - 安全 策略 强制 启用 模式 ， 将 会 拦截 服务 的 不 合法 请 求 。 
模式 二 : permissive - 遇 到 服务 越权 访问 只 会 发 出 警告 而 不 强制 拦截 。 
模式 三 : disabled - 对 于 越权 的 行为 不 警告 ， 也 不 拦截 。 
有 时 关闭 SELinux 后 确实 能 够 减少 报错 几率 , 但 这 极其 的 不 推荐 并 且 本 书 实验 环境 均 为 开启 状态 , 确保 您 的 SELinux 
服务 是 默认 启用 的 : 
第 1 步 :切换 到 SELinux 服务 的 配置 文件 目录 ”/etc/selinux “。 
第 2 步 :编辑 config 文件 将 模式 改 为 强制 启用 ， 记 得 保存 哦 ! 
如 果 发 现 SELINUX=permissive 或 disabled 那 就 赶紧 改过 来 吧 : 
[root@linuxprobe ~|# cd /etc/selinux 
[rootelinuxprobe selinux|# vim config 
SELINUX-enforcing 
此 时 可 以 来 查询 下 当前 的 SELinux 服务 状态 : 
[rootelinuxprobe ~|# getenforce 


Enforcing 


9.6 允许 SELinux 策略 

哦 ~~ 原 来 如 此 ， 为 了 确认 是 这 个 讨厌 的 SELinux 服务 在 的 鬼 ， 我 们 来 先 关 闭 它 试 试 吧 : 
[root@linuxprobe ~|# setenforce O 

检查 状态 ， 现 在 已 经 是 “禁止 模式 ”了 : 

[root@linuxprobe ~|# getenforce 

Permissive 

打开 浏览 器 再 键入 http//127.0.0.1, RR) T ! 


[rootelinuxprobe wwwroot] firefox 
® Applications Places ge Web Browser *"b R suniz:32  Übroot 


Mozilla Firefox 


The New Web Directory 


果然 是 因为 没有 配置 好 SELinux 服务 ， 再 次 开启 它 吧 : 

[rootelinuxprobe ~|# setenforce 1 

刚刚 浏览 器 里 报错 说 “禁止 ， 你 没有 访问 index.htm 文件 的 权限 ”， 那 怎么 开启 SELinux 的 允许 策略 呢 ? 
SELinux 安全 策略 包括 域 和 安全 上 下 文 : 

SELinux 域 :对 进程 资源 进行 限制 (查看 方式 :ps -Z) 

SELinux 安全 上 下 文 :对 系统 资源 进行 限制 (查看 方式 :ls -2) 


DASS 
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使 用 ”1s -Z“ 命 令 检 查 下 新 旧 网 站 数据 目录 的 SELinux 安全 上 下 文 有 何不 同 吧 : 


[rootelinuxprobe ~|# Is -Zd /var/www/html 


drwxr-xr-x. root root system u:object r:httpd sys content t:sO /var/www/html 


[rootelinuxprobe ~|# ls -Zd /home/wwwroot 


drwxrwxrwx. root root unconfined u:object r:home root. t:s0 /home/wwwroot 


SELinux 安全 上 下 文 是 由 冒号 间隔 的 四 个 字段 组 成 的 ， 以 原始 网 站 数据 目录 的 安全 上 下 文 为 例 分 析 下 到: 


用 户 段 :root 表示 root 账户 身份 ，user_u 表示 普通 用 户 身 份 ，system_u 表示 系统 进程 身份 。 


角色 段 :object_r 是 文件 目录 角色 ，system_r 是 一 般 进 程 角色 。 
类 型 段 :进程 和 文件 都 有 一 个 类 型 用 于 限制 存 取 权限 。 
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解决 办 法 就 是 将 当前 网 站 目录 " /home/wwwroot ^ 的 安全 Lb TFT x f£ k JA 


system u:object r:httpd sys content t:sO 就 可 以 啦 ~ 


semanage 命令 用 于 查询 与 修改 SELinux 的 安全 上 下 文 ， 格 式 为 : 


参数 


-d 


restorecon 命令 用 于 恢复 SELinux 文件 安全 上 下 文 ， 格 式 为 : 


-i 忽略 不 存在 的 文件 

排除 目录 

-R 递归 处 理 (针对 目录 使 用 ) 
vy 显示 详细 的 过 程 

E 强制 恢复 


修改 网 站 数据 目录 的 安全 上 下 文 : 


作用 


“restorecon [选项 ] [文件 ]”。 


[root@linuxprobe ~|# semanage fcontext -a -t httpd sys content t /home/wwwroot 


修改 网 站 数据 的 安全 上 下 文 (* 代 表 所 有 文件 或 目录 ): 


[root@linuxprobe ~|# semanage fcontext -a -t httpd sys content t /home/wwwroot/* 


这 样 操作 后 查看 到 SELinux 安全 上 下 文 依然 没有 改变 ， 不 要 着 急 ， 再 执行 下 restorecon 命令 即 可 : 


[rootelinuxprobe ~|# restorecon -Rv /home/wwwroot/ 
EE SUE AE A E d 

[root&linuxprobe ~|# firefox 

f Applications Places ro wo srowsor 4 R Sun17:32 四 roeot 


Mozilla Firefox 


Ths New Web Directory 


"semanage [选项 ] [文件 ]”。 


真 可 谓 是 一 波 三 折 ,， 原本 以 为 将 Apache 服务 配置 妥当 就 大 功 告 成 ， 结 果 却 受到 了 SELinux 安全 上 下 文 的 限制 ， 看 来 


真是 要 细心 才 行 。 
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9.7 个 人 用 户主 页 功能 

Apache 服务 程序 中 有 个 默认 未 开启 的 个 人 用 户主 页 功能 ， 能 够 为 所 有 系统 内 的 用 户 生成 个 人 网 站 ， 确 实 很 实用 哦 ~ 
第 1 步 :开启 个 人 用 户主 页 功能 : 

[root@linuxprobe ~|# vim /etc/httpd/conf.d/userdir.conf 

将 第 17 行 的 UserDir disabled 前 加 一 个 #， 代 表 该 行 被 注释 控 ， 不 再 起 作用 。 

将 第 23 行 的 UserDir public html 前 的 # 号 去 除 ， 表 示 该 行 被 启用 。 

注意 :UserDir 参数 表示 的 是 需要 在 用 户 家 目录 中 创建 的 网 站 数据 目录 的 名 称 ( 即 public html) 


root@linuxprobe:/home 











File Edit View Search Terminal Help 
8 # of 755, and documents contained therein must be world-readable. 
9 # Otherwise, the client will only receive a "403 Forbidden" message. 


10 # 
11 <IfModule mod_userdir.c> 
12 # 


13 # UserDir is disabled by default since it can confirm the presence 
14 # of a username on the system (depending on home directory 

15 # permissions). 

16 # 

17 # UserDir disabled 

18 # 

19 # To enable requests to /~user/ to serve the user's public_html 

20 # directory, remove the "UserDir disabled" line above, and uncomment 
21 # the following line instead: 

22 # 

23 UserDir public html 

24 «/IfModule» 

25 

26 # 

27 # Control access to UserDir directories. The following is an example 
28 € for a site where these directories are restricted to read-only. 


30 «Directory "/home/*/public html"» 
23,4 58% 


重启 Apache 服务 程序 : 

[root@linuxprobe ~|# systemctl restart httpd 

第 2 步 :创建 个 人 用 户 网 站 数据 。 

切换 至 普通 会 员 linuxprobe 的 家 目录 : 
[root@linuxprobe homel# su - linuxprobe 

Last login: Fri May 22 13:17:37 CST 2015 on :0 
创建 网 站 数据 目录 public html: 
[linuxprobeelinuxprobe -|$ mkdir public html 
写 入 首页 文件 内 容 : 

[linuxprobeelinuxprobe ~|$ echo "This is linuxprobe's website" > public html/index.html 
给 予 网 站 目录 755 的 访问 权限 : 

linuxprobeelinuxprobe -]$ chmod -Rf 755 / 

SUT4T7F 3 38, WEA” http://127.0.0.1/-/8 PA ", EIE EAZPAR A 


9 Applications Places Eoo Browser 


是 报错 页 面 ， 肯 定 是 SELinux RIE iE. 


*« u 20 ”加 root 


405 Forbidden - Mozilla Firefox 


Forbidden 
第 3 步 :设置 SELinux 允许 策略 。 
这 次 报错 并 不 是 因为 用 户 家 的 网 站 数据 目录 SELinux 安全 上 下 文 没 有 设置 了 ， 而 是 因为 SELinux 默认 就 不 允许 
Apache 服务 个 人 用 户主 页 这 项 功能 。 
getsebool 命令 用 于 查询 所 有 SELinux 规则 的 布尔 值 ， 格 式 为 : “getsebool -a”。 
SELinux 策略 布尔 值 :只 有 0/1 两 种 情况 ，0 或 of 为 禁止 ，1 或 on 为 允许 。 
setsebool 命令 用 于 修改 SElinux 策略 内 各 项 规则 的 布尔 值 ， 格 式 为 : “setsebool [选项 ] 布尔 值 =[0|1]”。 


参数 作用 


Pp 永久 生效 
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查看 并 搜索 所 有 与 家 目录 有 关 的 SELinux 策略 : 
[rootelinuxprobe ~]# getsebool -a | grep home 

ftp. home dir --> off 

git cgi enable homedirs — off 

git system enable homedirs --» off 

httpd enable homedirs --> off 

mock, enable homedirs --» off 

mpd enable homedirs — off 

openvpn, enable homedirs --> on 

samba, create home dirs --> off 

samba, enable home dirs --» off 

sftpd enable homedirs — off 

sftpd write ssh home --> off 

spamd enable home dirs --> on 

ssh chroot, rw. homedirs — off 

tftp home dir — off 

use ecryptfs home dirs — off 

use fusefs home dirs --> off 

use nfs home dirs --> off 

use samba home dirs — off 

xdm write home --» off 
将 个 人 用 户 网 站 功能 策略 设置 为 允许 : 
[root@linuxprobe ~|# setsebool -P httpd enable homedirs-on 


刷新 浏览 器 访问 linuxprobe 用 户 的 个 人 网 站 ， 果 然 成 功 了 : 


P Applücations Places &à 


«0 R sun 19 


Mozilla Firefox 


第 4 步 :增加 密码 安全 验证 。 

有 时 候 并 不 希望 所 有 人 都 可 以 留意 访问 到 自己 的 个 人 网 站 ， 那 就 可 以 使 用 Apache 密码 口令 验证 功能 增加 一 道 安 全 防护 吧 。 
使 用 htpasswd 命令 生成 密码 数据 库 Cc 参数 用 于 第 一 次 生成 ) : 

[rootelinuxprobe ~|# htpasswd -c /etc/httpd/passwd linuxprobe 

New password: 

Re-type new password: 

Adding password for user linuxprobe 

编辑 配置 文件 开启 密码 验证 (具体 参数 见 下 图 ): 

[root@linuxprobe ~|# vim /etc/httpd/conf.d/userdir.conf 


root@linuxprobe:~/Desktop 


File Edit View Search Terminal Help 
# UserDir disabled 


# 

# To enable requests to /~user/ to serve the user's public_html 

# directory, remove the "UserDir disabled" line above, and uncomment 
# the following line instead: 


# 
UserDir public_html 
</IfModule> 
# 
# Control access to UserDir directories. The following is an example 
# for a site where these directories are restricted to read-only. 
# 


<Directory "/home/*/public_html "> 
AllowOverride al 
authuserfile /etc/httpd/passwd 
authname "My privately website" 
authtype basic 
require user linuxprobe 
</Directory> 


:wq ! 
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@ Applications Places fox Web Browser *"6 gà sun22:08 root 





Authentication Required 
"y A username and password are beng requested ny hrtp://127.0.0 1. The site says: "My privately 
ite" 


QU 01 Unauthorized - Motto Fire.. 1/4 © 
如 果 口 令 输入 错误 会 直接 禁止 访问 : 
Unauthorized 


This server could not verify that you are authorized to access the document requested. Either you supplied the 
wrong credentials (e.g., bad password), or your browser doesn' t understand how to supply the credentials 
required. 

这 里 的 User Name 是 linuxprobe， 密 码 并 非 该 用 户 的 系统 密码 ， 而 是 htpasswd 命令 创建 的 网 站 密码 ， 不 要 搞 混 哦 ~ 
9.8 虚拟 网 站 主机 功能 

Apache 的 虚拟 主机 功能 (Virtual Host) 是 可 以 让 一 他 服务 器 基于 IP、 主 机 名 或 端口 号 实现 提供 多 个 网 站 服务 的 技术 。 
虚拟 主机 功能 的 操作 步骤 都 很 简单 ， 但 可 能 比较 难 理解 其 中 的 原理 ， 一 旦 搭建 出 实验 环境 ， 你 就 一 定 会 明白 了 。[ 附 件 ] 














9.8.1 基于 IP 地 址 
这 种 情况 很 常见 :一 合 服务 器 拥有 多 个 IP 地 址 ， 当 用 户 访问 不 同 IP 地 址 时 显示 不 同 的 网 站 页 面 
第 1 步 :使 用 nmtui 命 令 为 网 卡 添加 多 个 IP 地 址 (192.168.10.10/20/30): 


root@linuxprobe:~/Desktop T "n x) 
File Edit View Search Terminal Help 


Edit connection 


Profile name | 
Device 
= ETHERNET «Show» 


IPv4 CONFIGURATION «Hide» 
Addresses «Remove» 
«Remove» 
«Remove» 
«Adds 
Gateway n—— 
DNS servers «Add. 
Search domains «Add. 


Routing (No custom routes) «Edit...» 
[ ] Never use this network for default route 


[X] Require IPv4 addressing for this connection 








新 启动 网 卡 设备 后 使 用 ping 命令 检查 是 否 配 置 正确 (这 项 很 重要 ， 一 定 要 测试 好 再 进行 下 一 步 1)。 


root 回 linuxprobe:~/Desktop TU 
File Edit View Search Terminal Help 
rootülinuxprobe Desktop]£|systemct 一 一 一 networ 
otülinuxprobe Desktop]# ping 19 10.160 
PING 192.168.10.10 (192.168.10.10) S6(8å) bytes of data. 
4 bytes from 192.168.10.10: icmp_seq=1 ttl=64 timez0.062 ms 


Des 
PING 192. 168. 10. .28 (192. 168. 18. aa) 56(84) bytes of data 
64 bytes from 192.168.10.20: icmp seq-1 ttl1-64 time=0. 104 ms 
"~ 192.168.10.20 ping statistics --- 
1 packets transmitted, 1 received, G* packet loss, time Gms 
rtt VoL e Lala = 0.104/0. 104/9. ME soc ms 


— — OD D g B. 
PING 192. 168. 18. 30 (192.168.10.30) 56(84) bytas of data. 
64 bytes from 192.168.10.30: icmp seq-1 ttl=64 time=0.098 ms 
C 


-- 192.168.10.30 ping statistics --- 
1 packets transmitted, 1 received, G* packet loss, time Gms 
rtt min/avg/max/mdev = 8G.098/8.098/0.098/0.000 ms 
rootéülinuxprobe E 
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第 2 步 :分 别 创 建 网 站 数据 目录 。 

在 /home/wwwroot 目录 下 分 别 创建 三 个 网 站 数据 目录 : 
[root@linuxprobe -]* mkdir -p /home/wwwroot/10 

[rootelinuxprobe ~|# mkdir -p /home/wwwroot/20 

[rootelinuxprobe -]* mkdir -p /home/wwwroot/30 

分 别 在 这 三 个 网 站 数据 目录 中 写 入 主页 文件 ， 内 容 为 该 网 站 的 IP 地 址 : 
[root@linuxprobe ~|# echo "IP:192.168.10.10" > /home/wwwroot/ 10/index.html 
[root@linuxprobe ~|# echo "IP:192.168.10.20" > /home/wwwroot/20/index.html 
[rootelinuxprobe -]* echo "IP:192.168.10.30" > /home/wwwroot/30/index.html 
第 3 步 :在 配置 文件 中 描述 基于 IP 地 址 的 虚拟 主机 。 

<VirtualHost 192.168.10.10> 

DocumentRoot /home/wwwroot/ 10 

ServerName www. linuxprobe.com 

«Directory /home/wwwroot/10 » 

AllowOverride None 

Require all granted 

«/ Directory» 

</VirtualHost> 

<VirtualHost 192.168.10.20> 

DocumentRoot /home/wwwroot/20 

ServerName bbs.linuxprobe.com 

<Directory /home/wwwroot/20 > 

AllowOverride None 

Require all granted 

</Directory> 

</VirtualHost> 

<VirtualHost 192.168.10.30> 

DocumentRoot /home/wwwroot/30 

ServerName tech.linuxprobe.com 

«Directory /home/wwwroot/30 > 

AllowOverride None 

Require all granted 

«/ Directory» 

</VirtualHost> 

第 4 步 :修改 网 站 数据 目录 的 SELinux 安全 上 下 文 。 

需要 分 别 修改 网 站 数据 目录 以 及 网 页 文件 的 SELinux 安全 上 下 文 : 


[root@linuxprobe ~|# semanage fcontext -a -t httpd sys content t /home/wwwroot 


[root&linuxprobe ~|# semanage fcontext -a 
[root&linuxprobe ~|# semanage fcontext -a 
[rootelinuxprobe ~|# semanage fcontext -a 
[rootelinuxprobe ~|# semanage fcontext -a 
[root&linuxprobe ~|# semanage fcontext -a 
a 


[root&linuxprobe ~|# semanage fcontext - 


-t httpd. sys content t /home/wwwroot/10 
-t httpd. sys content t /home/wwwroot/10/* 
-t httpd. sys content t /home/wwwroot/20 
-t httpd. sys content t /home/wwwroot/20/* 
-t httpd. sys content t /home/wwwroot/30 
-t httpd. sys content t /home/wwwroot/30/* 


第 151 页 


第 152 页 
(Linux 就 该 这 么 学 》 HTTP://www.linuxprobe.com 


立即 恢复 SELinux 安全 上 下 文 : 
[root@linuxprobe ~|# restorecon -Rv /home/wwwroot 
第 5 步 :分 别 访问 192.168.10.10/20/30 验证 结果 : 


Mozilla Firefox 
File Edit View History Bookmarks Tools Help 
|. http.//192.168.10.10/ (+ 


192.168.10.10 «eG By Q $4 A 





Mozilla Firefox 
File Edit View History Bookmarks Tools Help 
http://192.168.10.20/ | 中 


192.168.10.20 ~ 图 ~ Q 4| 





Mozilla Firefox 
File Edit View History Bookmarks Tools Help 
ihttp://192.168.10.30/ 1 中 


192.168.10.30 ~ve py QA 





请 注意 : 当 您 完成 本 实验 后 请 还 原 虚 拟 机 快照 再 进行 下 一 个 实验 ， 否 则 可 能 导致 配置 文件 冲突 而 报错 。 

9.8.2 基于 主机 名 

当 服 务 恬 无 法 为 每 个 网 站 都 分 配 到 独立 P 地 址 时 ， 可 以 试 试 让 Apache 服务 程序 自动 识别 来 源 主 机 名 或 域名 然后 跳 
转 到 指定 的 网 站 。 

第 1 步 :配置 网 卡 IP 地 址 与 hosts 文件 。 


root(plinuxprobe:*/Desktop 


File Edit View Search Terminal Help 
[rootülinuxprobe Desktop]#ļ ifconfig] 
enol6777736: flags-4163«UP,BHOADC 
inet 192.168.10.10 : Sk 
inetó fe80::20c:29ff:feab:aaa prefixle 
ether 00:0c:29:ab:aa:af txqueuelen 1000 
RX packets 237 bytes 24767 (24.1 KiB) 
RX errors © dropped © overruns O frame O 





RUNNING,MULTICAST» mtu 1500 
255 PORE 0 一 TFT a5 





55.255 292. 





| 6 scopeid O0x20«link» 
(Ethernet) 


ixien a 


TX packets 350 bytes 30735 (30.0 KiB) 
TX errors © dropped O overruns © carrier © collisions 0 


lo: flags-z73«UP,LOOPBACK,RUNNING» mtu 65536 
inet 127.0.0.1 netmask 255.0.0.0 
inet6 ::1 prefixlen 128 scopeid Ox10«host» 
loop txqueuelen O (Local Loopback) 
RX packets 1493 bytes 130720 (127.6 KiB) 
RX errors @ dropped O overruns O frame 0 
TX packets 1493 bytes 130720 (127.6 KiB) 
TX errors © dropped © overruns © carrier © collisions € 


[rootgülinuxprobe Desktop]£ B 





hosts 文件 作用 是 定义 IP 地 址 与 主机 名 的 映射 关系 ， 即 强制 将 某 个 主机 名 地 址 解析 到 指定 的 IP 地 址 。 
[root@linuxprobe ~|# vim /etc/hosts 

// 每 行 只 能 写 一 条 ， 格 式 为 IP 地址 + 空格 + 主机 名 (域名 )。 

192.168.10.10 www.linuxprobe.com 

192.168.10.10 bbs.linuxprobe.com 

192.168.10.10 tech.linuxprobe.com 

第 2 步 : 分 别 创建 网 站 数据 目录 : 

[root@linuxprobe ~|# mkdir -p /home/wwwroot/www 

[root@linuxprobe ~|# mkdir -p /home/wwwroot/bbs 

[root@linuxprobe ~|# mkdir -p /home/wwwroot/tech 

分 别 在 网 站 目录 中 写 入 不 同 的 首页 文件 : 

[rootelinuxprobe ~|# echo "WWW. linuxprobe.com" > /home/wwwroot/www/index.html 
[rootelinuxprobe ~|# echo "BBS.linuxprobe.com' > /home/wwwroot/bbs/index.html 


[rootelinuxprobe ~|# echo "TECH.linuxprobe.com' > /home/wwwroot/tech/index.html 
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第 3 步 :在 配置 文件 中 描述 基于 主机 名 称 的 虚拟 主机 。 
编辑 主 配置 文件 (/etc/httpd/conf/httpd.conf， 在 主 配置 文件 的 末尾 按 下 面 格式 定义 虚拟 主机 信息 : 


<VirtualHost 192.168.10.10> 
DocumentRoot "/home/wwwroot/www"' 
ServerName "www.linuxprobe.com" 
«Directory "/home/wwwroot/wWw"» 
AllowOverride None 

Require all granted 

«/ directory» 

</VirtualHost> 


<VirtualHost 192.168.10.10> 
DocumentRoot "/home/wwwroot/bbs" 
ServerName "bbs.linuxprobe.com" 
«Directory "/home/wwwroot/bbs"> 
AllowOverride None 

Require all granted 

</Directory> 

</VirtualHost> 


<VirtualHost 192.168.10.10> 
DocumentRoot "/home/wwwroot/tech" 
ServerName "tech.linuxprobe.com" 
«Directory "/home/wwwroot/tech'» 
AllowOverride None 

Require all granted 

«/ directory» 

</VirtualHost> 


BENTA HERA hEN 3X 8| E SEE xH (/etc/httpd/conf/httpd.conf) ty RÆSA Ja EA apache 网 站 服务 程序 。 
因为 在 红 帽 RHCSA、RHCE 或 RHCA 考试 后 都 要 重启 您 的 实验 机 再 执行 判 分 脚本 。 

所 以 请 读者 在 日 常 工作 中 也 要 记得 将 需要 的 服务 加 入 到 开机 启动 项 中 :”systemctl enable httpd “。 

第 4 步 :修改 网 站 数据 目录 的 SELinux 安全 上 下 文 : 


[root&linuxprobe ~|# semanage fcontext - 
[root&linuxprobe ~|# semanage fcontext - 


[root&linuxprobe ~|# semanage fcontext - 


[root&linuxprobe ~|# semanage fcontext 


[root&linuxprobe ~|# semanage fcontext - 
[root&linuxprobe ~|# semanage fcontext - 


[root&linuxprobe ~|# semanage fcontext - 


让 新 的 SELinux 安全 上 下 文 立 即 生 效 : 


a 
a 
a 
-A 
a 
a 
a 


-t httpd_sys_content_t /home/wwwroot 

-t httpd_sys_content_t /home/wwwroot/www 

-t httpd_sys_content_t /home/wwwroot/www/* 
-t httpd_sys_content_t /home/wwwroot/bbs 

-t httpd_sys_content_t /home/wwwroot/bbs/* 
-t httpd_sys_content_t /home/wwwroot/tech 

-t httpd_sys_content_t /home/wwwroot/tech/* 


[root@linuxprobe ~|# restorecon -Rv /home/wwwroot/ 
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第 5 步 :分 别 访问 网 站 验证 结果 


Mozilla Firefox 





File Edit View History Bookmarks Tools Help 
ttp L prob m | ~} Red Hat | 中 
E Q 
WWW. linux m 
Mozilla Firef 
Fi Edit V His Be ks T Help 
i http://bbs.linuxprobe.com/ x |i ;Red Hat x | L2 
linuxprobe.com > y Q 5 ^ij 
BBS.linuxprobe.com : 
Mozilla Firef 
File Edit View History Bookmarks Tools Help 
http://tech.linuxprobe.com/ X |i ; Red Hat x | Lj 
linuxprobe.com à Q v ts 


TECH.linuxprobe.com 


请 注意 : 当 您 完成 本 实验 后 请 还 原 虚 拟 机 快照 再 进行 下 一 个 实验 ， 否 则 可 能 导致 配置 文件 冲突 而 报错 。 
9.8.2 基于 端口 号 

我 们 可 以 让 服务 属 开 居多 个 服务 端口 后 ， 然 后 让 用 户 能 够 通过 访问 服务 恬 的 指定 端口 来 找到 想 要 的 网 站 。 
第 1 步 :配置 服务 器 的 IP 地 址 : 


root(plinuxprobe:*/Desktop 


File Edit View Search Terminal Help 
[rootglinuxprobe Desktop]s|ifconfig| 


enol6777736: flags-4163«UP,BHOADC 





iet 192.168.10. tmask : st 
neto fe80::20c:29ff:feab:aaa refixlen 64  scopei 20«lL ink» 
ether 00:0c:29:ab:aa:af txqueuelen 1000 (Ethernet) 


RX packets 237 bytes 24767 (24.1 KiB) 

RX errors © dropped © overruns O frame O 

TX packets 350 bytes 30735 (30.0 KiB) 

TX errors © dropped © overruns O carrier © collisions 0 


lo: flags-73«UP,LOOPBACK,RUNNING» mtu 65536 
inet 127.0.0.1 netmask 255.0.0.0 
inet6 ::1 prefixlen 128 scopeid OxlQ<host> 
loop txqueuelen © (Local Loopback) 
RX packets 1493 bytes 130720 (127.6 KiB) 
RX errors @ dropped O overruns O frame O 
TX packets 1493 bytes 130720 (127.6 KiB) 
TX errors © dropped © overruns © carrier © collisions € 


[rootgülinuxprobe Desktop]£ B 





第 2 步 : 分 别 创建 网 站 数据 目录 。 

分 别 创建 端口 为 6111,6222 的 网 站 数据 目录 : 

[root@linuxprobe ~|# mkdir -p /home/wwwroot/6111 

[root@linuxprobe ~|# mkdir -p /home/wwwroot/6222 

分 别 在 网 站 数据 目录 中 写 入 不 同 内 容 的 主页 文件 : 

[root@linuxprobe ~]# echo "port:6111" > /home/wwwroot/61 1 1 /index.html 
[roote]inuxprobe ~|# echo "port:6222" > /home/wwwroot/6222/index.html 
第 3 步 :在 配置 文件 中 描述 基于 端口 号 的 虚拟 主机 。 

编辑 主 配置 文件 Wetc/httpd/conf/httpd.conf， 找 到 约 在 42 行 的 Listen 80， 并 在 下 面 追加 : 
Listen 6111 

Listen 6222 

然后 在 主 配 置 文 件 的 末尾 按 下 面 格式 定义 虚拟 主机 信息 : 

<VirtualHost 192.168.10.10:6111> 

DocumentRoot "/home/wwwroot/6111" 

serverName www.linuxprobe.com 

«Directory "/home/wwwroot/6111" » 

AllowOverride None 

Require all granted 


«/ Directory» 
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</VirtualHost> 
<VirtualHost 192.168.10.10:6222> 
DocumentRoot "/home/wwwroot/6222" 
ServerName bbs.linuxprobe.com 
«Directory "/home/wwwroot/6222" » 
AllowOverride None 
Require all granted 
«/ Directory» 
</VirtualHost> 
读者 们 可 以 直接 复制 上 面 的 参数 到 主 配 置 文件 (etc/httpd/conf/httpd.conf 的 末尾 然后 重启 apache 网 站 服务 程序 。 
因为 在 红 帽 RHCSA、RHCE 或 RHCA 考试 后 都 要 重启 您 的 实验 机 再 执行 判 分 脚本 。 
所 以 请 读者 在 日 常 工作 中 也 要 记得 将 需要 的 服务 加 入 到 开机 启动 项 中 :”systemctl enable httpd “。 
什么 ! 竞 然 报 错 了 : 
Job for httpd.service failed. See Systemctl status httpd.service and journalctl -xn for details. 
这 是 因为 SELinux 服务 检测 到 6111 与 6222 端口 原本 并 不 属于 Apache 服务 端口 ， 但 现在 却 被 以 Apache 的 名 义 监听 了 . 
第 4 步 :修改 网 站 数据 目录 的 SELinux 安全 上 下 文 并 允许 端口 监听 。 
修改 网 站 数据 目录 的 安全 上 下 文 : 
[root@linuxprobe ~|# semanage fcontext -a -t httpd user content t /home/wwwroot 
[root&linuxprobe ~|# semanage fcontext -a -t httpd user content t /home/wwwroot/6111 
[rootelinuxprobe ~|# semanage fcontext -a -t httpd user content t /home/wwwroot/6111/* 
[rootelinuxprobe ~|# semanage fcontext -a -t httpd user content t /home/wwwroot/6222 


-t httpd, user content, t /home/wwwroot/6222/* 


fO D D DD Q 


[root@linuxprobe ~|# semanage fcontext - 
让 新 的 SElinux 安全 上 下 文 立即 生效 : 
[root@linuxprobe ~|# restorecon -Rv /home/wwwroot/ 

使 用 semanage 命令 搜索 在 SELinux 系统 中 有 关 http 服务 的 端口 号 : 

[rootelinuxprobe ~]# semanage port -l| grep http 

http cache port t tcp 8080, 8118, 8123, 10001-10010 

http. cache port. t udp 3130 

http port t tcp 80, 81, 443, 488, 8008, 8009, 8443, 9000 

pegasus http port t tcp 5988 

pegasus https port t tcp 5989 

默认 包括 80,81,443,488,8008,8009,8443,9000 却 没有 咱们 定义 的 端口 号 ， 那 么 添加 进去 就 可 以 了 : 
[root@linuxprobe ~|# semanage port -a -t http port t-p tcp 6111 

[rootelinuxprobe ~|# semanage port -a -t http port t -p tcp 6222 

再 来 看 下 SELinux 的 端口 规则 (已 经 添加 成 功 了 ): 

[root@linuxprobe ~]# semanage port -l| grep http 

http. cache port t tcp 8080, 8118, 8123, 10001-10010 

http. cache port t udp 3130 

http port t tcp 6222, 6111, 80, 81, 443, 488, 8008, 8009, 8443, 9000 
pegasus http port t tcp 5988 

pegasus https port t tcp 5989 

再 次 尝试 启动 Apache 网 站 服务 程序 就 没有 问题 了 : 

[root@linuxprobe ~|# systemctl restart httpd 
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第 5 步 :分 别 访问 网 站 验证 结果 : 


Mozilla Firefox 











Mozilla Firefox 





请 注意 : 当 您 完成 本 实验 后 请 还 原 虚 拟 机 快照 再 进行 下 一 个 实验 ， 否 则 可 能 导致 配置 文件 冲突 而 报错 。 


9.9 Apache 的 访问 控制 

我 们 还 可 以 基于 主机 名 、IP 地 址 以 及 客户 端 特征 做 Apache 网 页 资源 的 访问 控制 ， 和 常用 的 指令 有 : 

Order( 排 序 )，Allow( 人 允许 )，Deny( 拒 绝 )，Satisfy( 满 足 )。 

其 中 Order 指令 用 于 定义 Allow 或 Deny 起 作用 的 顺序 ， 分 别 实现 了 允许 或 者 拒绝 某 个 主机 访问 服务 器 网 页 资源 。 
匹配 原则 为 : 按 顺 序 匹 配 规则 并 执行 ， 若 未 匹配 成 功 则 执行 后 面 的 执行 。 

比如 说 ”Order Allow,Deny“ 则 代表 着 先 将 客户 端 与 允许 规则 进行 对 比 , 若 匹 配 成 功 则 允许 访问 , 反之 则 直接 拒绝 。 
创建 网 站 数据 目录 和 和 首页 文件 : 

[root@localhost ~|# mkdir /var/www/html/server 

[root@localhost ~|# echo "Successful" > /var/www/html/server/index.html 

根据 浏览 器 的 变量 特征 ， 只 允许 下 浏览 器 访问 本 网 站 数据 。 

[root@localhost ~|# vim /etc/httpd/conf/httpd.conf 

// 在 大 约 129 行 的 地 方 添加 参数 . 

«Directory "/var/www/html/server'» 

SetEnvIf User-Agent "Internet Explorer" ie-1 

Order allow,deny 

Allow from env-ie 

保存 配置 文件 后 记得 重启 服务 (systemctl restart httpd), 45/8 Fl Firefox 浏览 器 尝试 访问 网 站 页 面 : 


403 Forbidden - Mozilla Firefox 


Forbidden 


You don't have permission to access /server/ on this server. 


那么 如 果 和 希望 仅 允 许 火 狐 浏 览 器 访问 本 页 面 ， 请 将 配置 文件 修改 为 : 
«Directory "/var/www/html/server" » 

SetEnvIf User-Agent "Firefox" ff-1 

Order allow,deny 

Allow from env-ff 

«/ Directory» 

根据 来 访 源 地 址 ， 仅 限 192.168.10.10 的 主机 访问 本 网 站 。 

此 时 我 们 就 需要 两 台 主 机 来 完成 实验 了 ， 请 配置 主机 IP 地 址 后 能 够 互相 通信 。 


主机 名 称 操作 系统 IP 地 址 
本 地 主机 红 帽 RHEL7 操作 系统 192.168.10.10 


远程 主机 Zr H RHEL7 操作 系统 192.168.10.20 
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[root@localhost ~|# vim /etc/httpd/conf/httpd.conf 
// 在 大 约 129 行 的 地 方 添加 参数 . 
Order allow,deny 
Allow from 192.168.10.20 
保存 配置 文件 后 记得 重启 服务 (Systemctl restart httpd)， 然 后 用 Firefox 浏览 器 尝试 访问 网 站 页 面 : 


File Edit View History Bookmarks Tools Help 


71403 Forbidden * 


192.168.10.10 图 、 Q i í 
Forbidden 
You don't have permission to access /server/ on this server. 


然后 再 使 用 远程 主机 (192.168.10.20 尝试 访问 页 面 ， 顺 利 的 成 功 了 : 


Mozilla Firefox 


http://192.168.10.10/server/ [ Red Hat x | EI | 
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第 10 章 使 用 Vsftpd 服务 传输 文件 。 
章节 人 简 述 : 
本 章节 先 通过 介绍 文件 传输 协议 来 帮助 读者 理解 FTP 协议 的 用 处 ， 安 装 vsftpd 服务 程序 并 逐条 分 析 服 务 文件 的 配置 参数 。 
完整 演示 vsftpd 服务 匿名 访问 模式 .本 地 用 户 模式 及 虚拟 用 户 模式 的 配置 方法 , 介绍 PAM 可 插 拔 式 认 证 模块 的 原理 与 认证 流程 。 
通过 配置 vsftpd 服务 程序 ， 进 一 步 的 锻炼 了 读者 SELinux 服务 策略 、 安 全 上 下 文 以 及 防火 墙 的 配置 与 排 错 能 力 。 
10.1 文件 传输 协议 
文件 传输 协议 (FTP File Transfer Protocol)， 即 能 够 让 用 户 在 互联 网 中 上 传 、 下 载 文件 的 文件 协议 ， 而 FTP 服务 器 
就 是 支持 FTP 传输 协议 的 主机 ， 要 想 完成 文件 传输 则 需要 FTP 服务 端 和 FTP 客户 端的 配合 才 行 。 
通 绾 用 户 使 用 FTP 客户 端 软 件 向 FTP 服务 器 发 起 连接 并 发 送 FIP 指令 ,服务 恬 收 到 用 户 指令 后 将 执行 结果 返回 客户 端 。 


ins -数据 资料 


LE 


FTP 客 户 端 FTP 服 务 器 














FTP 协议 占用 两 个 端口 号 : 
21 端口 :命令 控制 ， 用 于 接收 客户 端 执行 的 FTP 命令 。 
20 端口 :数据 传输 ， 用 于 上 传 、 下 载 文件 数据 。 
FTP 数据 传输 的 类 型 : 
主动 模式 :FTP 服务 端 主动 向 FIP 客户 端 发 起 连接 请 求 。 
被 动 模式 :FTP 服务 端 等待 FTP 客户 端的 连接 请 求 。 
10.2 安装 vsftpd 服务 程序 
Vsftpd 即 “Very Secure FTP Daemon” 是 一 款 运 行 在 类 Unix 操 作 系 统 的 FTP 服 务 端 程序 ,Vsftpd 主打 的 是 安全 性 、 
完全 开源 及 免费 、 速 率 高 、 支 持 IPv6、 虚 拟 用 户 功能 等 等 其 他 FTP 服务 端 软件 不 具备 的 功能 。 


Linux 
^ysFTP 


安装 vsftpd 服务 程序 包 : 






[root@linuxprobe ~|# yum install vsftpd -y 


Loaded plugins: langpacks, product-id, subscription-manager 


---> Package vsftpd.x86_64 0:3.0.2-9.el7 will be installed 


--> Finished Dependency Resolution 


Installed: 

vsftpd.x86_64 0:3.0.2-9.el7 
Complete! 

清空 默认 的 防火 墙 默 认 规 则 : 
[root&linuxprobe ~|# iptables -F 
保存 清空 后 的 防火 墙 规则 表 : 


[root@linuxprobe ~|# service iptables save 


Vsftpd 的 程序 与 配置 文件 : 


Xm 


用 户 禁 止 登陆 列表 


主 配置 文件 


先 来 分 析 下 vsftpd 程序 的 主 配 置 文 件 吧 : 
[root@linuxprobe ~|# cat /etc/vsftpd/vsftpd.conf 
主 配置 文件 长 达 123 行 ， 但 大 部 分 是 以 # 号 开始 的 ， 这 些 都 


备份 vsftpd 的 主 配置 文件 : 
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/usr/sbin/vsftpd 


/etc/vsftpd/ftpusers 
/etc/vsftpd/user list 


/etc/vsftpd/vsftpd.conf 


是 注释 信息 ， 我 们 可 以 过 滤 掉 它们 。 


[root@linuxprobe ~|# mv /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf bak 
过 滤 看 所 有 包含 # 号 的 行 ， 并 将 过 滤 结 果 写 回 到 vsftpd.conf 文件 中 : 
[root@linuxprobe ~|# grep -v # /etc/vsftpd/vsftpd.conf bak > /etc/vsftpd/vsftpd.conf 


此 时 再 分 析 下 vsftpd 程序 的 主 配置 文件 吧 : 
[rootelinuxprobe ~|# cat /etc/vsftpd/vsftpd.conf 


anonymous enable-YES 
local enablez- YES 

write enablezYES 

local umask-022 
dirmessage enable-YES 
xferlog enablezYES 
connect. from port. 20zYES 
xferlog std format-YES 
listen NO 

listen ipv6-YES 

pam, service name-vsftpd 
userlist enablezYES 


tcp. wrappers-YES 


vsftpd 程序 配置 文件 参数 的 作用 : 


参数 

listen=[YES|NO] 

listen address-IP 地 址 

listen port-21 

download enable— [YES|NO] 


userlist enable-|YES |NO] 
userlist denyz[YES |NO] 


max. clients-O 


作用 


是 否 以 独立 运行 的 方式 监听 服务 。 


设置 要 监听 的 IP 地 址 。 


设置 FIP 服务 的 监听 端口 。 


人 


是 否 启 用 “禁止 登陆 用 户 名 单 ”。 


最 大 客户 端 连接 数 ，0 为 不 限制 。 
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max, per. ip-O 
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同一 IP 地 址 最 大 连接 数 ，0 位 不 限制 。 


anonymous_enable=[YES|NO] 是 否 允 许 匿 名 用 户 访 间 。 
anon_upload_enable=[YES|NO] 是 否 允 许 匿名 用 户 上 传 文件 。 
anon_umask=022 匿名 用 户 上 传 文件 的 umask E. 
anon, root-/var/ftp 匿名 用 户 的 FTP 根 目录 。 

anon, mkdir. write enable-[YES |NO] 是 否 人 允许 匿名 用 户 创建 目录 。 


anon other write enable-[YES |NO]| 


anon max rate-O 


是 否 开放 匿名 用 户 其 他 写 入 权限 。 


匿名 用户 最 大 传输 速率 ( 字 节 )，0 为 不 限制 。 


local enable-[YES |NO] 是 否 允 许 本 地 用 户 登 陆 FTP. 
local umask-022 本 地 用 户 上 传 文件 的 umask 值 。 
local_root=/var/ftp 本 地 用 户 的 FTP 根 目 录 。 


chroot_local_user=[YES|NO] 


local_max_rate=0 


10.3 Vsftpd 的 验证 方式 
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是 否 将 用 户 权限 禁 铀 在 FTP 目录 ， 更 加 的 安全 。 


本 地 用 户 最 大 传输 速率 ( 字 市 )，0 为 不 限制 。 


vsftpd 程序 提供 的 FTP 服务 可 选 认证 方式 ， 分 别 为 匿名 访问 、 本 地 用 户 和 虚拟 用 户 : 

匿名 访问 :任何 人 无 需 验 证 口令 即 可 登入 FTP 服务 端 。 

本 地 用 户 :使 用 FTP 服务 器 中 的 用 户 、 密 码 信息 。 

虚拟 用 户 :创建 独立 的 FTP 帐号 资料 。 

顾名思义 匿名 访问 就 是 所 有 人 均 可 随意 登入 FIP 服务， 这样 自 然 会 产生 安全 问题 ， 一 般 用 于 存放 公开 的 数据 。 

而 本 地 用 户 与 虚拟 用 户 则 需要 用 户 提供 帐号 及 口令 后 才能 登入 FTP 服务 ， 更 加 的 安全 ， 而 虚拟 用 户 则 是 最 安全 的 。 
下 面 的 实验 环节 将 使 用 两 台 红 帽 RHEL7 系统 的 主机 ， 读 者 需要 提前 配置 网 卡 的 IP 地 址 等 信息 : 











主机 名 称 操作 系统 IP 地 址 
FTP 服务 端 红 帽 RHEL7 操作 系统 192.168.10.10 


FTP X Pg Zr RHEL7 操作 系统 192.168.10.20 
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10.3.1 匿名 访问 模式 
FTP 匿名 访问 模式 是 比较 不 安全 的 服务 模式 ， 尤 其 在 真实 的 工作 环境 中 千 万 不 要 存放 敏感 的 数据 ， 以 免 泄 露 。 
vsftpd 程序 默认 已 经 允许 匿名 访问 模式 ， 我 们 要 做 的 就 是 开启 匿名 用 户 的 上 传 和 写 入 权限 ， 写 入 下 面 的 参数 : 
[root@linuxprobe ~|# vim /etc/vsftpd/vsftpd.conf 


参数 作用 

anonymous_enable=YES 允许 匿名 访问 模式 。 

anon umask-022 匿名 用 户 上 传 文件 的 umask 值 。 
anon, upload enable-YES 允许 匿名 用 户 上 传 文件 

anon mkdir write enable-YES 允许 匿名 用 户 创建 目录 
anon_other_write_enable=YES 允许 匿名 用 户 修 改 目 录 名 或 删除 目录 


确认 填写 正确 后 保存 并 退出 vsftpd.conf 文件 ， 然 后 重启 vsftpd 服务 程序 并 设置 为 开机 自 局 动 。 
[root@linuxprobe ~|# systemctl restart vsftpd 
[root&linuxprobe ~|# systemctl enable vsftpd 
In -s /usr/lib/systemd/system/vsftpd.service' /etc/systemd/system/multi-user.target.wants/vsftpd.service 
因为 在 红 帽 RHCSA、RHCE 或 RHCA 考试 后 都 要 重启 您 的 实验 机 再 执行 判 分 脚本 。 
所 以 请 读者 在 日 常 工作 中 也 要 记得 将 需要 的 服务 加 入 到 开机 启动 项 中 :”systemctl enable vsftpd “。 
WREE vsftpd 服务 程序 时 没有 报错 ， 此 时 便 可 以 使 用 FTP 客户 机 (192.168.10.20) 尝 试 登入 FTP 服务 了 。 
ftp 命令 用 于 使 用 FTP 服务 ， 格 式 为 : “ftp [参数 ] [FTP 主机 ]”。 
红 帽 RHEL7 系统 中 ftp 命令 默认 没有 安装 ， 请 执行 ”yum install ftp -y“ 即 可 安装 完毕 。 
在 客户 端 尝试 登入 FTP 服务 : 
[root@linuxprobe ~|# ftp 192.168.10.10 
Connected to 192.168.10.10 (192.168.10.10). 
220 (vsFTPd 3.0.2) 
Name (192.168.10.10:root): anonymous 
331 Please specify the password. 
Password: Rt ii; El # 
230 Login successful. 
Remote system type is UNIX. 
Using binary mode to transfer files. 
ftp» cd pub 
250 Directory successfully changed. 
ftp» mkdir files 
550 Permission denied. 
上 面 操作 中 已 经 将 防火 墙 规则 清空 , 在 vsftpd.conf 文件 中 也 已 经 允许 匿名 用 户 创建 目录 与 写 入 权限 , MELART TE? 
这 里 建议 读者 先 不 要 往 下 看 ， 思 考 后 用 自己 的 方法 解决 下 这 个 问题 ， 长 期 这 样 你 的 Linux 的 排 错 能 力 一 定 会 练 出 来 的 。 
回想 前 面 的 参数 细节 ， 匿 名 访问 模式 的 FTP 根 目 录 为 /var/ftp: 
[root@linuxprobe ~|# ls -ld /var/ftp/pub 
drwxr-xr-x. 3 root root 16 Jul 13 14:38 /var/ftp/pub 
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原来 匿名 用 户 的 FIP 根 目录 所 有 者 /组 都 是 root， 所 以 匿名 用 尸 没 有 写 入 权限 ， 那 我 们 将 所 有 者 修改 为 ftp RRE, 
[rootelinuxprobe ~|# chown ftp /var/ftp/pub 
此 时 再 用 ftp 命令 尝试 登入 FTP 服务 并 创建 文件 : 
ftp> mkdir files 
550 Create directory operation failed. 
可 恶 ! 又 报错 了 1 虽然 这 次 报错 代码 还 是 550， 但 前面 提示 权限 拒绝 ， 这 次 是 操作 失败 ， 马 上 想到 是 SELinux MEE 
查看 所 有 与 ftp 相关 的 SELinux 规则 : 
[rootelinuxprobe ~]# getsebool -a | grep ftp 
ftp home dir --> off 
ftpd anon write --> off 
ftpd. connect. all unreserved — off 
ftpd. connect, db — off 
ftpd. full access --» off 
ftpd use cifs --> off 
ftpd. use fusefs — off 
ftpd use nfs --> off 
ftpd use passive mode --> off 
httpd can connect. ftp --> off 
httpd enable ftp server — off 
sftpd anon write — off 
sftpd enable homedirs — off 
sftpd full access — off 
sftpd write ssh, home --> off 
tftp anon, write — off 
tftp home dir — off 
ix € SELinux 服务 对 ftp 服务 的 访问 规则 策略 为 允许 。 
[rootelinuxprobe ~|# setsebool -P ftpd full  access-on 
此 时 再 来 创建 文件 或 目录 就 没有 问题 了 : 
[rootelinuxprobe ~|# ftp 192.168.10.10 
Connected to 192.168.10.10 (192.168.10.10). 
220 (vsFTPd 3.0.2) 
Name (192.168.10.10:root): anonymous 
331 Please specify the password. 
Password: ii; El # 
230 Login successful. 
Remote system type is UNIX. 
Using binary mode to transfer files. 
ftp» cd pub 
250 Directory successfully changed. 
ftp» mkdir files 
257 "/pub/files" created 
ftp» rename files database 
350 Ready for RNTO. 


250 Rename successful. 
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ftp> rmdir database 
250 Remove directory operation successful. 
ftp> exit 
221 Goodbye. 
请 注意 : 当 您 完成 本 实验 后 请 还 原 虚 拟 机 快照 再 进行 下 一 个 实验 ， 否 则 可 能 导致 配置 文件 冲突 而 报错 。 
10.3.2 本 地 用 户 模 式 
既然 要 使 用 本 地 用 户 模式 , 而 本 地 用 户 模式 确实 要 比 匿名 访问 模式 更 加 的 安全 , 所 以 本 实验 中 会 关闭 匿名 访问 模式 。 
vsftpd 服务 程序 默认 已 经 允许 本 地 用 户 模 式 ， 我 们 要 做 的 是 添加 设置 本 地 用 户 模式 权限 的 参数 : 
[root@linuxprobe ~|# vim /etc/vsftpd/vsftpd.conf 


参数 作用 

anonymous_enable=NO 禁止 匿名 访问 模式 。 

local_enable=YES RT PAR XL 

write enable-YES 设置 可 写 入 权限 。 

local umask-022 本 地 用 户 模 式 创建 文件 的 umask fi. 

userlist_deny=YES 参数 值 为 YES 即 禁止 名 单 中 的 用 户 ， 参 数值 为 NO 则 代表 仅 允 许 名 单 中 的 用 户 。 
userlist_enable=YES 允许 “禁止 登陆 名 单 ”， 名 单 文件 为 ftpusers 与 user list. 


确认 填写 正确 后 保存 并 退出 vsftpd.conf 文件 ， 然 后 重启 vsftpd 服务 程序 并 设置 为 开机 自 局 动 。 
[root&linuxprobe ~|# systemctl restart vsftpd 

[root&linuxprobe ~|# systemctl enable vsftpd 

In -s /usr/lib/systemd/system/vsftpd.service' /etc/systemd/system/multi-user.target.wants/vsftpd.service 
因为 在 红 帽 RHCSA、RHCE 或 RHCA 考试 后 都 要 重启 您 的 实验 机 再 执行 判 分 脚本 。 

所 以 请 读者 在 日 常 工作 中 也 要 记得 将 需要 的 服务 加 入 到 开机 启动 项 中 :”systemctl enable vsftpd ". 
WREE vsftpd 服务 程序 时 没有 报错 ， 此 时 便 可 以 使 用 FTP 客户 机 (192.168.10.20) 尝 试 登入 FTP 服务 了 ~ 
我 们 先 来 看 下 ftpusers 或 user_list 文件 中 禁止 登陆 用 户 名 单 : 

root 

bin 

daemon 

adm 

Ip 

sync 

shutdown 

halt 

mail 

news 

uucp 

operator 

games 


nobody 
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vsftpd 服务 为 了 让 FTP 服务 更 加 的 安全 ， 默 认 禁 止 以 root 身份 登入 ， 那 么 创建 个 普通 用 户 吧 : 
[root@linuxprobe ~|# useradd linuxprobe 
为 linuxprobe 用 户 设置 密码 : 
[root@linuxprobe ~|# passwd linuxprobe 
Changing password for user linuxprobe. 
New password: 
Retype new password: 
passwd: all authentication tokens updated successfully. 
在 客户 端 尝试 登入 FTP 服务 : 
[root@linuxprobe ~|# ftp 192.168.10.10 
Connected to 192.168.10.10 (192.168.10.10). 
220 (vsFTPd 3.0.2) 
Name (192.168.10.10:root): linuxprobe 
331 Please specify the password. 
Password: 输 入 用 户 的 本 地 密码 
230 Login successful. 
Remote system type is UNIX. 
Using binary mode to transfer files. 
ftp> mkdir files 
550 Create directory operation failed. 
有 了 上 面 配置 匿名 访问 模式 的 经 验 ， 这 次 再 遇 到 了 “操作 被 拒绝 ， 应 该 马上 想到 SELinux 了 吧 。 
查看 所 有 与 ftp 相关 的 SELinux 规则 : 
[rootelinuxprobe ~]# getsebool -a | grep ftp 
ftp. home dir --» off 
ftpd anon write --> off 
ftpd. connect. all unreserved — off 
ftpd. connect. db — off 
ftpd. full access --» off 
ftpd use cifs --> off 
ftpd. use fusefs — off 
ftpd use nfs --> off 
ftpd use passive mode --> off 
httpd can connect, ftp --> off 
httpd enable ftp server — off 
sftpd anon write — off 
sftpd enable homedirs — off 
sftpd full access — off 
sftpd write ssh, home --> off 
tftp anon, write — off 
tftp home dir — off 
设置 SELinux 对 FTP 服务 的 规则 为 允许 : 


[rootelinuxprobe ~|# setsebool -P ftpd_full_access=on 
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此 时 再 来 创建 文件 或 目录 就 没有 问题 了 : 
[root@linuxprobe ~|# ftp 192.168.10.10 
Connected to 192.168.10.10 (192.168.10.10). 
220 (vsFTPd 3.0.2) 
Name (192.168.10.10:root): linuxprobe 
331 Please specify the password. 
Password: 输 入 用 户 本 地 密码 
230 Login Successful. 
Remote system type is UNIX. 
Using binary mode to transfer files. 
ftp» mkdir files 
257 "/home/linuxprobe/files" created 
ftp» rename files database 
350 Ready for RNTO. 
250 Rename successful. 
ftp» rmdir database 
250 Remove directory operation successful. 
ftp» exit 
221 Goodbye. 
[/pre] 
请 注意 : 当 您 完成 本 实验 后 请 还 原 虚 拟 机 快照 再 进行 下 一 个 实验 ， 否 则 可 能 导致 配置 文件 冲突 而 报错 。 
10.3.3 虚拟 用 户 模式 
因为 虚拟 用 户 模式 的 帐号 口令 都 不 是 真实 系统 中 存在 的 ， 所 以 只 要 配置 妥当 虚拟 用 户 模 式 会 比 本 地 用 户 模 式 更 加 安 
全 ， 但 是 Vsftpd 服务 配置 虚拟 用 户 模式 的 操作 步骤 相对 复杂 一 些 ， 具 体 流程 如 下 : 
第 1 步 :建立 虚拟 FTP 用 户 数 据 库 文件 。 
第 2 步 :创建 FTP 根 目录 及 虚拟 用 户 映 射 的 系统 用 户 。 
第 3 步 :建立 支持 虚拟 用 户 的 PAM 认证 文件 。 
第 4 步 :在 vsftpd.conf 文件 中 添加 支持 配置 。 
第 5 步 : 为 虚拟 用 户 设置 不 同 的 权限 。 
第 6 步 :重启 vsftpd 服务 ， 验 证 实验 效果 。 
第 1 步 :建立 虚拟 FTP 用 户 数据 库 文 件 。 
切换 至 vsftpd 程序 目录 : 
[rootelinuxprobe ~|# cd /etc/vsftpd/ 
创建 用 于 生成 FTP 用 户 数 据 库 的 原始 帐号 和 密码 文件 : 
[root@linuxprobe vsftpdj# vim vuser.list 
// 单 数 行为 帐号 ， 双 数 行为 密码 。 
linuxprobe 
pa33wOrd 
blackshield 
pa22wlrd 
使 用 db load 命令 用 HASH 算法 生成 FTP 用 户 数 据 库 文件 vuser.db: 
[root@linuxprobe vsftpdj# db load -T -t hash -f vuser.list vuser.db 
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查看 数据 库 文件 的 类 型 : 
[rootelinuxprobe vsftpdj# file vuser.db 
vuser.db: Berkeley DB (Hash, version 9, native byte-order) 
FTP 用 户 数据 库 内 容 很 敏感 ， 所 以 权限 给 小 一 些 : 
[rootelinuxprobe vsftpdj# chmod 600 vuser.db 
删除 原始 的 帐号 和 密码 文件 : 
[rootelinuxprobe vsftpdj# rm -f vuser.list 
第 2 步 :创建 FTP 根 目 录 及 虚拟 用 户 映射 的 系统 用 户 。 
创建 用 户 virtual 并 设置 为 不 允许 登陆 系统 并 定义 该 用 尸 的 家 目录 : 
[root@linuxprobe ~|# useradd -d /var/ftproot -s /sbin/nologin virtual 
查看 该 用 尸 的 家 目录 权限 : 
[rootelinuxprobe ~|# Is -ld /var/ftproot/ 
drwx------. 3 virtual virtual 74 Jul 14 17:50 /var/ftproot/ 
为 保证 其 他 用 户 可 以 访问 ， 给 予 rwxr-xr-x 权限 : 
[root@linuxprobe ~|# chmod -Rf 755 /var/ftproot/ 
第 3 步 :建立 支持 虚拟 用 户 的 PAM 认证 文件 : 
[rootelinuxprobe ~|# vim /etc/pam.d/vsftpd.vu 
// 人 参数 db 用 于 指向 刚刚 生成 的 vuser.db 文件 ， 但 不 要 号 后 级 。 
auth required — pam userdb.so db=/etc/vsftpd/vuser 
account required pam userdb.so db-/etc/vsftpd/vuser 
第 4 步 :在 vsftpd.conf 文件 中 添加 支持 配置 。 
既然 要 使 用 虚拟 用 户 模式 ， 而 虚拟 用 户 模 式 确实 要 比 匿名 访问 模式 更 加 的 安全 ， 配 置 的 同时 也 关闭 匿名 开放 模式 。 
[root@linuxprobe ~|# vim /etc/vsftpd/vsftpd.conf 


参数 作用 

anonymous_enable=NO 禁止 匿名 开放 模式 。 

local_enable=YES a 

guest_enable=YES 开启 虚拟 用 户 模 式 。 

guest username-virtual 指定 虚拟 用 户 帐号 。 

pam_service_name=vsftpd.vu 指定 pam 文件 。 

allow. writeable chroot-YES 允许 禁 铀 的 FTP 根 目录 可 写 而 不 拒绝 用 户 登 入 请 求 。 


第 5 步 :为 虚拟 用 户 设置 不 同 的 权限 

现在 不 论 是 linuxprobe 还 是 blackshield 帐户 ， 他 们 的 权限 都 是 相同 的 一 一 默认 不 能 上 传 、 创 建 、 修 改 文件 ， 如 果 希 
38 Rl P blackshield 能 够 完全 的 管理 FTP 内 的 资料 ， 就 需要 让 FTP 程序 支持 独立 的 用 尸 权限 配置 文件 了 : 

指定 用 户 独立 的 权限 配置 文件 存放 的 目录 : 

[root@linuxprobe ~|# vim /etc/vsftpd/vsftpd.conf 

user config dir-/etc/vsftpd/vusers dir 

创建 用 户 独立 的 权限 配置 文件 存放 的 目录 : 

[root@linuxprobe -]* mkdir /etc/vsftpd/vusers dir/ 
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切换 进入 到 该 目录 中 : 
[root@linuxprobe ~|# cd /etc/vsftpd/vusers_dir/ 
创建 空白 的 linuxprobe 的 配置 文件 : 
[root@linuxprobe vusers_dir|# touch linuxprobe 
指定 blackshield 用 户 的 具体 权限 : 
[root@linuxprobe vusers_dir]# vim blackshield 
anon, upload enable-YES 
anon mkdir write enablezYES 
anon other write enable-YES 
第 6 步 :重启 vsftpd 服务 ， 验 证 实验 效果 。 
确认 填写 正确 后 保存 并 退出 vsftpd.conf 文件 ， 重 启 vsftpd 程序 并 设置 为 开机 后 自动 启用 : 
[root@linuxprobe ~|# systemctl restart vsftpd 
[rootelinuxprobe ~|# systemctl enable vsftpd 
In -s /usr/lib/systemd/system/vsftpd.service' /etc/systemd/system/multi-user.target.wants/vsftpd.service 
因为 在 红 由 RHCSA、RHCE 或 RHCA 考试 后 都 要 重启 您 的 实验 机 再 执行 判 分 脚本 。 
所 以 请 读者 在 日 常 工作 中 也 要 记得 将 需要 的 服务 加 入 到 开机 启动 项 中 :”systemctl enable vsftpd ". 
如 果 重 启 vsftpd 并 没有 看 到 报错 ， 此 时 可 使 用 FTP 客户 机 (192.168.10.20) 尝 试 登入 FTP 服务 了 : 
[root@linuxprobe ~|# ftp 192.168.10.10 
Connected to 192.168.10.10 (192.168.10.10). 
220 (vsFTPd 3.0.2) 
Name (192.168.10.10:root): blackshield 
331 Please specify the password. 
Password: 此 处 输入 虚拟 用 户 的 密码 
230 Login Successful. 
Remote system type is UNIX. 
Using binary mode to transfer files. 
ftp» mkdir files 
550 Create directory operation failed. 
有 了 上 面 配置 匿名 访问 模式 和 本 地 用 户 模式 的 经 验 ， 这 次 再 遇 到 了 “操作 被 拒绝 ， 应 该 马上 想到 SELinux 服务 了 吧 。 
查看 所 有 与 ftp 相关 的 SELinux 规则 : 
[rootelinuxprobe ~]# getsebool -a | grep ftp 
设置 SELinux 对 FTP 服务 的 规则 为 允许 : 
[rootelinuxprobe ~|# setsebool -P ftpd full, access-on 
此 时 再 来 创建 文件 或 目录 就 没有 问题 了 : 
[rootelinuxprobe ~|# ftp 192.168.10.10 
Connected to 192.168.10.10 (192.168.10.10). 
220 (vsFTPd 3.0.2) 
Name (192.168.10.10:root): blackshield 
331 Please specify the password. 
Password: 此 处 输入 虚拟 用 户 的 密码 
230 Login Successful. 
Remote system type is UNIX. 
Using binary mode to transfer files. 


ftp» mkdir files 
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257 "/files" created 
ftp» rename files database 
350 Ready for RNTO. 
250 Rename successful. 
ftp» rmdir database 
250 Remove directory operation successful. 
ftp» exit 
221 Goodbye. 
使 用 linuxprobe 用 户 创 建 (肯定 会 报错 ): 
[root@linuxprobe ~|# ftp 192.168.10.10 
Connected to 192.168.10.10 (192.168.10.10). 
220 (vsFTPd 3.0.2) 
Name (192.168.10.10:root): linuxprobe 
331 Please specify the password. 
Password: 此 处 输入 虚拟 用 户 的 密码 
230 Login Successful. 
Remote system type is UNIX. 
Using binary mode to transfer files. 
ftp» mkdir files 
550 Permission denied. 
ftp» exit 
221 Goodbye. 
有 没有 觉得 很 有 意思 ? 当然 读者 们 在 工作 中 要 学 会 灵活 的 搭配 参数 ， 不 要 完全 按照 实验 操作 而 脱离 客户 需求 。 
10.4 可 插 拨 认证 模块 PAM 
刚刚 在 上 面 Vsftpd 服务 的 虚拟 用 户 模式 中 提 到 到 了 一 个 叫做 PAM 的 东西 ， 现 在 为 大 家 简单 的 介绍 下 PAM, 
可 插 拨 认证 模块 PAM (Pluggable Authentication Modules) 是 一 种 认证 机 制 ， 通 过 一 些 动态 链接 库 和 统一 的 API 将 系 
统 提 供 的 服务 与 认证 方式 分 开 ， 使 得 系统 管理 员 可 以 根据 需求 灵活 的 调整 服务 程序 的 不 同 认 证 方式 。 
通俗 来 讲 PAM 是 一 组 安全 机 制 的 模块 (插件 )， 让 系统 管理 员 可 以 轻易 的 调整 服务 程序 的 认证 方式 ， 此 时 可 以 不 必 对 
应用 程序 做 任何 的 修改 ， 史 用 性 很 强 ，PAM 和 采取 了 分 层 设计 的 思想 一 应 用 程序 层 、 应 用 接口 层 、 鉴 别 模块 层 。 





——————————————————————————————————————————————————— 


—————————————————————————————————————————————————————————————————————————————————————— 





PAM API 作为 应 用 程序 层 与 鉴别 模块 层 的 连接 纽带 ， 让 应 用 程序 可 以 根据 需求 灵活 的 在 其 中 插入 所 需 的 鉴别 功能 模 
块 ， 当 应 用 程序 需要 PAM 认证 时 ， 一 般 在 应 用 程序 中 定义 负责 其 认证 的 PAM 配置 文件 ， 真 正 灵活 的 实现 了 认证 功 
能 ， 读 者 不 必 精 通 PAM 模块 ， 也 不 用 对 参数 做 细致 的 讲解 ， 只 需 认 识 PAM 模块 的 重要 目录 : 

/lib/security:pam 认证 模块 。 
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/etc/pam.d: 针 对 不 同 服务 而 定义 好 的 pam 配置 文件 。 
例如 vsftpd 程序 就 会 在 其 主 配置 文件 (“Vetc/vsftpd/vsftpd.conf “V PHA THAR: 
pam, service name-vsftpd 
表示 登陆 FTP 服务 器 时 是 根据 /etc/pam.d/vsftpd 的 文件 内 容 进 行 安全 认证 的 。 
因为 我 们 平时 不 会 经 常 修改 PAM 配置 文件 ， 而 且 PAM 模块 相对 比较 复杂 ， 所 以 不 在 本 章 中 继续 讲解 ， 读 者 必需 能 
够 理解 刚刚 实验 中 出 现 的 vsftpd.vu 文件 的 作用 以 及 存放 位 置 。 
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第 11 章 使 用 Samba 或 NFS 实现 文件 共享 。 


章节 人 简 述 : 

本 章节 为 读者 讲述 文件 共享 系统 的 作用 ， 了 解 Samba 与 NFS 服务 程序 的 开发 背景 以 及 用 法 。 

详细 逐条 讲解 Samba 服务 配置 参数 ， 演 示 安 全 共享 文件 的 配置 策 方法 ， 并 使 用 autofs 服务 程序 自动 挂 载 设备 ， 

学 会 后 即 可 实现 Linux 系统 之 间或 与 Windows 系统 之 间 的 文件 共享 ， 以 及 在 共享 文件 时 如 何 配置 防火 墙 与 SELinux 
策略 规则 。 

11.1 了 解 文件 共享 服务 

早期 网 络 想 要 在 不 同 主机 之 间 共 享 文件 大 多 要 用 FTP 协议 来 传输 ， 但 FTP 协议 仅 能 做 到 传输 文件 却 不 能 直接 修改 对 
方 主机 的 资料 数据 ， 这 样 确 实 不 太 方便 ， 于 是 便 出 现 了 NES 开源 文件 共享 程序 :NFS(NetworkFile System 是 一 个 能 够 
将 多 台 Linux 的 远程 主机 数据 挂 载 到 本 地 目录 的 服务 ， 属 于 轻 量 级 的 文件 共享 服务 ， 不 支持 Linux 与 Windows 系 
统 间 的 文件 共享 。 





随后 在 1991 年 时 大 学 生 Tridgwell 为 了 解决 Linux 5 Windows 系统 之 间 共 享 文件 的 问题 ， 便 开发 出 了 SMB 协议 与 Samba 服务 程序 。 
SMB(Server Messages Block) 协 议 :实现 局 域 网 内 文件 或 打印 机 等 资源 共享 服务 的 协议 。 

当时 Tridgwell 想 要 注册 SMBServer 这 个 商标 ， 但 却 被 因为 SMB 是 没有 意义 的 字符 被 拒绝 了 ， 经 过 Tridgwell 不 断 
翻 看 词典 ， 终 于 找到 了 一 个 拉丁 舞蹈 的 名 字 一 一 SAMBA， 而 这 个 热情 舞蹈 的 名 字 中 又 恰好 包含 了 SMB(SAMBA), F 
是 这 便 是 Samba 程序 名 字 的 由 来 。 

Samba 服务 程序 是 一 款 基 于 SMB 协议 并 由 服务 端 和 客户 端 组 成 的 开源 文件 共享 软件 ， 实 现 了 Linux 5 Windows 系 
统 间 的 文件 共享 。 

11.2 Samba 服务 

11.2.1 安装 服务 程序 

inr Samba 服务 程序 后 细致 的 分 析 其 配置 文件 参数 ， 更 能 够 帮助 读者 们 理解 Samba 服务 的 安全 验证 方式 。 
安装 Samba 服务 软件 包 : 

[root@linuxprobe Desktop|* yum install samba 


Loaded plugins: langpacks, product-id, subscription-manager 


Installing: 
samba x86 64 4.].1-31.el7 rhel7 527 k 
"m dp Si SES B ense piiebece tuns 
Complete! 
浏览 Samba 配置 文件 : 


[rootelinuxprobe ~|# cat/etc/samba/smb.conf 
配置 文件 竟然 有 32047! 有 没有 被 吓 到 ? 其 实 Samba 服务 配置 文件 中 大 部 分 是 注释 信息 ， 我 们 可 以 来 第 选 过 滤 下 : 
备份 原始 的 配置 文件 : 


[root@linuxprobe ~|# mv /etc/samba/smb.conf /etc/samba/smb.conf.bak 
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过 滤 掉 无 用 的 内 容 : 
先 使 用 cat 命令 读 入 Smb 配置 文件 后 通过 grep 命令 -Vv 参数 ( 反 向 选择 ) 去 掉 所 有 注释 信息 ， 然 后 分 别 删 选 掉包 含 # 
号 的 行 (“#”)， 包 含 ;号 的 行 (“;”) 以 及 所 有 的 空白 行 (“^$”)， 最 后 最 后 将 过 滤 后 的 信息 履 盖 写 入 到 
/etc/samba/smb.conf 文件 中 。 


cat /etc/samba/smb.conf.bak | grep -v # | grep -v ";" | grep -v "^$" > /etc/samba/smb.conf 
让 我 们 来 看 看 过 滤 后 的 配置 文件 吧 : 
[global] # 全 局 参数 。 
workgroup = MYGROUP # 工 作 组 名 称 。 


server string = Samba Server Version %v # 服 务 改 介绍 信息 ,参数 %v 为 显示 SMB 版 本 号 。 


log file = /var/log/samba/log.96m # 定 义 日 志文 件 存放 位 置 与 名 称 ， 参 数 %nm 为 来 访 的 主机 名 。 
max log size = 50 # 定 义 日 志文 件 最 大 容量 为 50Kb。 
security = User # 安 全 验证 的 方式 ,总 共有 4 种 。 


#share: 来 访 主 机 无 需 验 证 口令 ， 更 加 方便 ， 但 安全 性 很 差 。 

#user: 需 由 SMB 服务 验证 来 访 主机 提供 的 口令 后 才 可 建立 访问 ,更 加 的 安全 。 
#server: 使 用 独立 的 远程 主机 验证 来 访 主机 提供 的 口令 (集中 管理 帐号 )。 
#domain: 使 用 PDC 来 完成 验证 

passdb backend = tdbsam # 定 义 用 户 后 人 台 的 类 型 ， 共 有 3 种 。 
#smbpasswd: 使 用 SMB 服务 的 smbpasswd 命令 给 系统 用 户 设置 SMB 密码 。 
#tdbsam: 创 建 数 据 库 文件 并 使 用 pdbedit 建立 SMB 独立 的 用 户 。 


#ldapsam: 基 于 LDAP 服务 进行 帐户 验证 。 


load printers = yes # 设 置 是 否 当 Samba 服务 启动 时 共享 打印 机 设备 。 
cups options = raw # 打 印 机 的 选项 
[homes] # 共 享 参数 
comment = Home Directories # 描 述 信息 
browseable = no # 指 定 共享 是 否 在 “网 上 邻居 ”中 可 见 。 
writable = yes # 定 义 是 否 可 写 入 操作 ， 与 "read only" 相 反 。 


[printers] # 打 印 机 共享 参数 
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comment = All Printers 

path = /var/spool/samba # 共 享 文件 的 实际 路 径 (重要 )。 
browseable = no 

guest ok = no # 是 否 所 有 人 可 见 ， 等 同 于 "public" 参 数 。 
writable = no 


printable = yes 


标准 的 Samba 共享 参数 是 这 样 的 : 


参数 作用 

[linuxprobe] 共享 名 称 为 linuxprobe 
comment = Do not arbitrarily modify the database file 警告 用 户 不 要 随意 修改 数据 库 
path = /home/database 共享 文件 夹 在 /home/database 
public = no 关闭 所 有 人 可 见 

writable = yes 允许 写 入 操作 


我 们 将 上 面 的 配置 参数 直接 追加 到 SMB 服务 配置 文件 (/etc/samba/smb.conf 并 重启 SMB 服务 程序 即 可 生效 。 

但 此 时 SMB 服务 默认 的 验证 模式 为 user， 我 们 需要 先 创建 用 户 数 据 库 后 才 可 以 正常 使 用 ， 现 在 来 学 习 下 如 何 创建 吧 ~ 
11.2.2 安全 共享 文件 

使 用 Samba 服务 口令 验证 方式 可 以 让 共享 文件 更 加 的 安全 ， 做 到 仅 让 信任 的 用 户 访问 ， 而 且 验 证 过 程 也 很 简单 ， 要 
想 使 用 口令 验证 模式 ， 我 们 需要 先 需 要 创建 Samba 服务 独立 的 数据 库 。 

第 1 步 :检查 当前 是 否 为 user 验证 模式 。 

[root@linuxprobe ~|# cat /etc/samba/smb.conf 


security = user 
passdb backend = tdbsam 


第 2 步 :创建 共享 文件 夹 : 

[root@linuxprobe ~|# mkdir /database 

第 3 步 :描述 共 储 文件 夹 信 息 。 

在 SMB 服务 主 配置 文件 的 最 下 面 追 加 共享 文件 来 的 配置 参数 : 
[database] 

comment = Do not arbitrarily modify the database file 

path = /database 

public = no 

writable = yes 

保存 smb.conf 文件 后 重启 局 动 SMB 服务 : 


[root@linuxprobe ~|# Systemctl restart smb 
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添加 到 开机 启动 项 : 


[root@linuxprobe ~|# systemctl enable smb 

In -s /usr/lib/systemd/system/smb.service' /etc/systemd/system/multi-user.target.wants/smb.service' 
第 4 步 : WEM Windows 主机 尝试 访问 

读者 按照 下 表 的 IP 地 址 规划 动手 配置 下 Windows 的 网 卡 参数 ， 应 该 都 会 吧 ~ 


主机 名 称 操作 系统 IP 地 址 

Samba 共享 服务 器 红 帽 RHEL7 操作 系统 192.168.10.10 
客户 端 红 帽 RHEL7 操作 系统 192.168.10.20 
客户 端 微软 Windows7 操作 系统 192.168.10.30 





jE \\192.168.10.10 


p 查看 更 多 结果 


| [W192.168.10.10 x | [M || 





在 Windows 主机 的 运行 框 中 输入 远程 主机 的 信息 
FTT T 


Windows 无 法 访问 N192.168.10.10 
请 检查 名 称 的 拼写 。 否 则 ， 网 络 可 能 有 问题 。 要 尝试 识别 并 解决 网 络 问题 ， 请 单 击 “ 诊 断 ”。 


(v) aarme 


此 时 访问 Samba 服务 报错 

此 时 访问 Samba 服务 是 报错 的 ， 如 果 读 者 已 经 看 完 Apache(httpd) 服 务 程序 的 章节 ， 应 该 还 记得 防火 墙 和 SELinux 规则 吧 。 
第 5 步 :清空 防 火 墙 规则 链 : 

Windows 访问 Samba 主机 提示 报错 ， 我 们 怀疑 是 Iptables 阻止 了 访问 操作 ， 于 是 执行 : 

[root@linuxprobe ~|# Iptables -F 


[root@linuxprobe ~|# service iptables save 


DASS 
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因为 Windows 系统 的 缓存 关系 ， 可 能 需要 先 重启 下 Windows 主机 再 党 斌 访问 Samba 共享 。 





ejl X% 









(X Ix P 


Windows 安全 









输入 网 络 密码 
输入 您 的 密码 来 连接 到 ; 192.168.10.10 











| RP 


L| it: WIN-SNIQ3DUMJHD 
记 住 我 的 凭据 


Cs wan 未 知 的 用 户 全 或 模 误 过 码 。 


[ws ]| ms | 




















Windows 系统 被 要 求 验证 帐户 口令 
那么 这 个 问题 就 是 出 在 Iptables 防火 墙 的 默认 规则 中 了 ， 所 以 请 对 SELinux 多 一 点 耐心 ， 不 要 直接 关闭 SELinux 
第 6 步 :创建 SMB 服务 独立 的 帐号 。 
现在 Windows 系统 要 求 先 验证 后 才能 访问 共享 ， 而 SMB 服务 配置 文件 中 密码 数据 库 后 台 类 型 为 ”tdbsam“， 所 以 
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这 个 帐户 和 口令 是 Samba 服务 的 独立 帐号 信息 ， 我 们 需要 使 用 pdbedit 命令 来 创建 SMB 服务 的 用 户 数据 库 。 


pdbedit 命令 用 于 管理 SMB 服务 的 帐户 信息 数据 库 ， 格 式 为 : “pdbedit [选项 | 帐户 ”。 


参数 作用 

-a HPA Æ Samba 用 户 
x 用 户 名 AR Samba 用 户 
ii 列 出 用 户 列表 


E 列 出 用 户 详细 信息 的 列表 
创建 系统 用 户 : 


[root@linuxprobe ~|# useradd smbuser 

将 此 系统 用 户 提升 为 SMB 用 户 : 

[root@linuxprobe ~|# pdbedit -a -u smbuser 

new password: 设 置 SMB 服务 独立 的 密码 

retype new password: 

Unix username: smbuser 

NT username: 

Account Flags: [U | 

User SID: S-1-5-21-4146456071-3435711857-2069708454-1000 
Primary Group SID: S-1-5-21-4146456071-3435711857-2069708454-513 
Full Name: 

Home Directory: WMinuxprobeNsmbuser 

Homebir Drive: 

Logon Script: 

Profile Path: MinuxprobeNmbuser profile 

Domain: LINUXPROBE 


《Linux 就 该 这 么 学 》 


Account desc: 
Workstations: 
Munged dial: 


Logon time: O 


Logoff time: Wed, 06 Feb 2036 23:06:39 CST 
Kickoff time: Wed, 06 Feb 2036 23:06:39 CST 
Password last set: Sat, 11 Jul 2015 18:27:04 CST 
Password can change: Sat, 11 Jul 2015 18:27:04 CST 


Password must change: never 
Last bad password : 0 


Bad password count : 0 


Logon hours : FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFEFFFF 


HTTP://www.linuxprobe.com 





第 7 步 :使 用 Windows 主机 验证 共享 结果 : 
Windows 验证 SMB 服务 口令 


Windows 成 功 访 问 SMB 服务 
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Windows 安全 








输入 网 络 密码 
给 入 您 的 密码 床 过 接 到 :; 192.168.10.10 














V) 记 住 我 的 凭据 
O 登录 失败 : 未 知 的 用 户 名 或 错误 密码 . 











Windows +^ #3 











H Y Wim, 前 大 远程 打印 机 


orem database J smbuser 
d Fä a, 7 a., 
E EX 
xj Ema MUR 


3s 
B us 
i| 图 片 
s| 文档 
J 音乐 


muB 


€ as 


组 织 v 网 络 和 共享 中 心 查看 远程 打印 机 


第 8 步 : 允许 SELinux 规则 





Windows 无 法 访问 \\192.168.10.10\database 


您 没有 积 限 沪 问 从 192.168.10,10\database。 洁 与 网 络 竺 理 员 联系 请求 访问 权限 。 








使 用 Windows 主机 访问 Samba 共享 果然 可 以 使 用 smbuser 用 户 合 入， 但 对 于 共享 文件 这 么 重要 的 事情 ，SELinux 


一 定 会 强制 管理 ， 刚 刚 没有 受 当 的 配置 好 SELinux， 现 在 果然 又 报错 了 。 


将 共享 目录 的 所 有 者 各 所 有 组 设置 为 smbuser 用 户 : 


[root@linuxprobe ~|# chown -Rf smbuser:smbuser /database 


允许 SELinux 对 于 SMB 用 户 共享 家 


目录 的 布尔 值 : 


[root@linuxprobe ~|# setsebool -P samba enable home dirs on 
将 共享 目录 的 SELinux 安全 上 下 文 设置 妥当 : 


[root@linuxprobe ~|# semanage fcontext -a -t samba, share t /database 


使 新 的 安全 上 下 文 立即 生效 : 


[root&linuxprobe ~|# restorecon -Rv /database/ 
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第 9 步 : 使 用 Windows 主机 验证 共享 结果 
我 们 配置 好 Samba 服务 后 又 陆续 的 调整 好 了 Iptables 防火 墙 与 SELinux 安全 规则 ， 现 在 终于 可 以 正 铝 的 使 用 共享 了 。 





G je 9 68 l » atabase vis 3 T e p 
i EX 2 























使 用 SMB 服务 并 创建 文件 

第 10 步 : 使 用 Linux 主机 验证 共享 结果 

刚刚 好 像 让 读者 产生 了 一 些小 误解 ， Samba 服务 程序 并 不 仅仅 是 能 够 实现 Linux 与 Windows 系统 间 的 文件 共享 ， 还 
可 以 实现 Linux 系统 之 间 的 文件 共享 哦 ， 先 动手 配置 下 客 尸 端 主机 的 IP 地 址 吧 : 


主机 名 称 操作 系统 IP 地 址 

Samba 共享 服务 器 2r 8 RHEL7 操作 系统 192.168.10.10 
客户 端 红 帽 RHEL7 操作 系统 192.168.10.20 
T P 微软 Windows7 操作 系统 192.168.10.30 


在 客户 端 安装 cifs-utils 软件 包 : 
[root@linuxprobe ~|# yum install -y cifs-utils 


Loaded plugins: langpacks, product-id, subscription-manager 


Installing: 
cifs-utils x86. 64 6.2-6.el7 rhel7 83k 
— Au SPESE 
Complete! 
创建 挂 载 目录 : 


[root@linuxprobe ~|# mkdir /database 

在 root 家 目录 创建 认证 文件 (依次 为 SMB 用 户 名 、SMB 用 户 密 码 、SMB 共享 域 ) : 
[root@linuxprobe ~|# vim auth.smb 

Username=smbuser 

password-redhat 

domain-MYGROUP 

此 文件 太 重 要 了 ， 权 限 应 该 给 小 一 些 : 

[root@linuxprobe ~|# chmod -Rf 600 auth.smb 

配置 其 挂 载 信息 (内容 依 次 为 远程 共享 信息 、 本 地 挂 载 目录 、 文 件 系 统 类 型 、 认 证 文件 以 及 开机 上 自 检 选项 ) : 
[root@linuxprobe ~|# vim /etc/fstab 

//192.168.10.10/database /database cifs credentials-/root/auth.smb 0 O 

使 用 mount 命令 的 -a 参数 挂 载 所 有 在 fstab 文件 中 定义 的 文件 信息 : 
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[root@linuxprobe ~|# mount -a 

RIER Samba 的 共享 目录 (能 够 看 到 共享 文件 了 ): 

[root@linuxprobe ~|# cat /database/Memo.txt 

i can edit it . 

Samba 服务 真 的 是 太 强大 了 ， 不 仅 能 够 实现 Linux 系统 之 间 分 享 数 据 还 能 与 Windows 主机 进行 文件 共享 。 

11.3 NFS 网 络 文件 系统 

NFS(Network Files System) 即 网 络 文件 系统 ，NFS 文件 系统 协议 允许 网 络 中 的 主机 通过 TCP/IP 协议 进行 资源 共享 ， 
NFS 客户 端 可 以 像 使 用 本 地 资源 一 样 读 写 远 端 NFS 服务 端的 资料 ， 需 要 注意 NFS 服务 依赖 于 RPC 服务 与 外 部 通信 ， 
所 以 必需 保证 RPC 服务 能 够 正常 注册 服务 的 端口 信息 才能 正常 使 用 NFS 服务 。 

有 个 学 员 问 这 NFS 是 不 是 need for speed 的 缩写 啊 ? 哈哈 ，NFS 配置 和 使 用 都 是 非常 快捷 ， 所 以 这 么 说 也 是 有 道理 的 。 
红 帽 RHEL7 系统 已 经 默认 安装 NFS 服务 : 

[root@linuxprobe ~|# yum install nfs-utils 

Loaded plugins: langpacks, product-id, subscription-manager 

(1/2): rhel7/group. gz | 134 kB 00:00 

(2/2): rhel7/primary. db | 3.4 MB 00:00 

Package 1:nfs-utils-1.3.0-0.e17.x86 64 already installed and latest version 


Nothing to do 

本 次 的 实验 需要 两 台 Linux 主机 ， 网 络 配置 情况 : 
主机 名 称 操作 系统 IP 地 址 
NFS 服务 端 2r'"H RHEL7 操作 系统 192.168.10.10 
NFS 客户 端 2r'"H RHELT 操作 系统 192.168.10.20 


第 1 步 :创建 NFS 服务 端的 共享 目录 。 

清空 iptables 默认 的 规则 链 : 

[root@linuxprobe ~|# iptables -F 

保存 清空 后 的 iptables 规则 : 

[root@linuxprobe ~|# service iptables save 

创建 nfsfile 共享 目录 : 

[root@linuxprobe ~|# mkdir /nfsfile 

写 入 一 个 文件 ， 用 于 NFS 客户 端 读 取 : 

[rootelinuxprobe ~|# echo "welcome to linuxprobe.com > /nfsfile/readme 
NFS 服务 端 配置 文件 是 ”/etc/exports”， 用 于 定义 要 共享 的 目录 以 及 相应 权限 。 
[root@linuxprobe ~|# vim /etc/exports 

// 格 式 为 :共享 目录 的 绝对 路 径 允许 访问 NFS 资源 的 客户 端 (权限 参数 ) 
/nfsfile 192.168.10.* (rw,sync,root squash) 

NFS 配置 共享 的 参数 有 : 


参数 作用 
ro 只 读 默 认 
rw 读 写 模式 


root, squash 3 NFS 客 尸 端 使 用 root 用 尸 访问 时 ， 了 映射 为 NFS 服务 端的 匿名 用 户 。 
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no_root_squash 当 NFS 客户 端 使 用 root 用 户 访问 时 ， 映 射 为 NFS 服务 端的 root 用 户 。 
all_squash 不 论 NFS 客户 端 使 用 任何 帐户 ， 均 映射 为 NFS 服务 端的 匿名 用 户 。 

sync 同时 将 数据 写 入 到 内 存 与 硬盘 中 ， 保 证 不 丢失 数据 。 

async 优先 将 数据 保存 到 内 存 ， 然 后 再 写 入 硬盘 ， 效 率 更 高 ， 但 可 能 造成 数据 丢失 。 
第 2 步 :启动 NFS 服务 端 


刚刚 讲 到 NFS 服务 是 依赖 于 RPC 服务 的 ， 但 在 红 帽 RHEL7 系统 中 RPC 服务 已 经 默认 运行 (activelj 了 ， 所 以 无 需 再 配 
E RPC 服务 啦 。 

[root@linuxprobe ~|# Systemctl status rpcbind 

启动 nfs-server 程序 : 

[root@linuxprobe ~|# systemctl start nfs-server 

设置 NFS 服务 端 为 开机 局 动 : 

[root@linuxprobe ~|# Systemctl enable nfs-server 

第 3 步 : 配置 NFS 客户 端 

如 果 NFS 客户 端 也 是 红 帽 RHEL7 系统 ， 那 么 软件 包 nfs-utils 一 定 也 是 已 经 默认 安装 ， 直 接 挂 载 共 享 就 可 以 了 。 
showmount 命令 用 于 查询 NFS 服务 端 共享 信息 ， 格 式 为 : “showmount [参数 ] [远程 主机 |”。 


参数 作用 
-e 显示 NES 服务 端的 共享 列表 
-a 显示 本 机 挂 载 NFS 资源 的 情况 


a 显示 版 本 号 


查询 远程 NFS 服务 端 中 可 用 的 共享 资源 : 

[root@linuxprobe ~|# showmount -e 192.168.10.10 

Export list for 192.168.10.10: 

/nfsfile (everyone) 

创建 本 地 挂 载 目录 : 

[rootelinuxprobe ~|# mkdir /nfsfile 

[rootelinuxprobe ~|# mount -t nfs 192.168.10.10:/nfsfile /nfsfile 

顺利 查看 到 刚刚 写 入 文件 内 容 : 

[root@linuxprobe ~|# cat /nfsfile/readme 

welcome to linuxprobe.com 

如 果 希 望 开机 后 自动 将 NES 资源 挂 载 到 本 地 ， 那 么 就 可 以 通过 修改 fstab 文件 来 实现 : 

[root@linuxprobe ~|# vim /etc/fstab 

192.168.10.10:/nfsfile /nfsfile nfs defaults O O 

11.4 AutoFs 自动 挂 载 服务 

AutoFs 服务 与 Mount/Umount 命令 不 同 之 处 在 于 它 是 一 种 守护 进程 , 只 有 检测 到 用 户 试图 访问 一 个 尚未 挂 载 的 文件 
系统 时 才 自 动 的 检测 并 挂 载 该 文件 系统 , 换 句 话说, 将 挂 载 信 息 填 入 /etc/fstab 文件 后 系统 将 在 每 次 开机 时 都 自动 将 
其 挂 载 ， 而 运行 AutoFs 后 则 是 当 用 户 需要 使 用 该 文件 系统 了 才 会 动态 的 挂 载 ， 节 约 网 络 与 系统 资源 。 

模拟 训练 :每 次 进入 /media/iso 目录 时 都 会 自动 挂 载 镜像 。 
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主机 名 称 操作 系统 
NFS 服务 端 2r'"H RHEL7 操作 系统 
NFS 客户 端 2r'"H RHEL7 操作 系统 


安装 autofs 服务 : 


[root@linuxprobe ~|# yum install autofs 


Installing: 

autofs x86. 64 1:5.0.7-40.el7 rhel 550 k 
Installing for dependencies: 

hesiod x86. 64 3.2.1-3.el7 rhel 30 k 


Complete! 


启动 autofs 服务 并 加 入 到 开机 启动 项 中 : 
[root@linuxprobe ~|# systemctl start autofs 


[root&linuxprobe ~|# systemctl enable autofs 


IP 地 址 


192.168.10.10 


192.168.10.20 
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In -s /usr/lib/systemd/system/autofs.service' /etc/systemd/system/multi-user.target.wants/autofs.service' 


修改 autofs 主 配 置 文件 (格式 为 : ERER 映射 配置 文件 ) : 


[root@linuxprobe ~|# vim /etc/auto.master 

/media /etc/iso.misc 

编辑 挂 载 配 置 参 数 文件 (映射 文件 ); 
[root@linuxprobe ~|# vim /etc/auto.misc 

iso -fstype-iso9660,ro,nosuid,nodev :/dev/cdrom 
重新 加 载 启动 autofs 服务 : 

[root&linuxprobe ~|# Systemctl restart autofs 

进入 自动 挂 载 目录 中 : 

[rootelinuxprobe ~|# cd /media/iso 

查看 当前 目录 下 的 文件 : 

[root@linuxprobe iso] Is 

addons images Packages RPM-GPG-KEY-redhat-release 
EFI isolinux release-notes TRANS.TBL 

EULA LiveOS repodata 

GPL media.repo RPM-GPG-KEY-redhat-beta 


本 章 结 束 ， 您 可 以 在 此 写 下 笔记 : 
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第 12 章 使 用 Bind 提供 域名 解析 服务 。 
章 市 简 述 : 
本 章节 将 让 您 理解 DNS 服务 程序 的 原理 ， 学 习 正 向 解析 与 反 向 解析 实验 ， 掌 握 DNS 主 服 务 器 、 从 服务 器 、 缓 存 服务 器 的 部 署 方法 。 
够 熟练 配置 区 域 信 息 文件 与 区 域 数 据 文件 ， 以 及 通过 使 用 分 离 解 析 技 术 让 不 同 来 源 的 用 户 得 到 更 合适 的 解析 结果 。 
DNS 服务 作为 互联 网 的 基础 设施 ， 我 们 还 可 以 配置 BIND 服务 程序 支持 TSIG 安全 加 密 传输 机 制 ， 从 而 保障 解析 数据 不 被 嗅 探 监听 。 
12.1 了 解 域 名 解析 服务 
一 般 来 讲 域名 比 IP 地 址 更 加 的 有 含义 、 也 更 容易 记 住 ， 所 以 通常 用 户 更 习惯 输入 域名 来 访问 网 络 中 的 资源 ， 但 是 计 
算 机 主机 在 互联 网 中 只 能 通过 IP 识别 对 方 主机 ， 那 么 就 需要 DNS 域名 解析 服务 了 。 
DNS 域名 解析 服务 (Domain Name System) 是 用 于 解析 域名 与 IP 地 址 对 应 关系 的 服务 ， 功 能 上 可 以 实现 正 向 解析 与 反 向 解析 : 
正 向 解析 :根据 主机 名 (域名 ) 查 找 对 应 的 IP 地址 。 
反 向 解析 :根据 IP 地 址 查找 对 应 的 主机 名 (域名 )。 
DNS 服务 协议 采用 类 似 目 录 树 的 层次 结构 记录 域名 与 IP 地址 的 映射 对 应 关系 ， 形 成 一 个 分 布 式 的 数据 库 系统 : [DNS 结构 模 
型 | 
| mo 


LLL 


而 单 靠 几 人 台 DNS 服务 器 肯定 不 能 满足 全 球 如 此 多 用 户 的 需求 ， 所 以 从 工作 形式 上 又 分 主 服 务 器 、 从 服务 器 和 缓存 服务 器。 
主 服 务 器 :在 特定 区 域内 具有 唯一 性 、 负 责 维 护 该 区 域内 的 域名 与 卫 地 址 对 应 关系 。 
从 服务 器 :从 主 服 务 器 中 获得 域名 与 IP 地址 对 应 关系 并 维护 ， 以 防 主 服务 器 宕 机 等 情况 
缓存 服务 响 : 通 过 向 其 他 域名 解析 服务 恤 查 询 获 得 域名 与 IP 地 址 对 应 关系 ， 提 高 重复 查询 时 的 效率 。 
这 里 还 需要 简单 了 解 下 ，DNS 查询 时 还 会 分 为 递归 查询 与 迭代 查询 。 
递归 查询 :用 于 客户 机 向 DNS 服务 器 查询 。 
迭代 查询 :用 于 DNS 服务 器 向 其 它 DNS 服务 恬 查 询 。 
互联 网 DNS 访问 模型 一 一 采用 分 布 式 数据 结构 保存 海量 区 域 数据 信息 ， 用 户 从 互联 网 中 查询 过 程 大 致 流程 为 : DNS 查询 流程 图 

















12.2 安装 Bind 服务 程序 

伯克利 互联 网 域名 服务 BIND (Berkeley Internet Name Daemon) 是 一 款 全 球 互联 网 使 用 最 广泛 的 能 够 提供 安全 可 靠 、 
快捷 高 效 的 域名 解析 服务 程序 。 并 且 Bind 服务 程序 还 支持 chroot (change root) 监牢 安全 机 制 ，chroot 机 制 会 限 
制 bind 服务 程序 仅 能 对 自身 配置 文件 进行 操作 ， 从 而 保证 了 整个 服务 器 的 安全 ， 让 既然 如 此 ， 那 么 我 们 也 就 选择 安 
装 bind-chroot "E: 

[root@linuxprobe ~|# yum install bind-chroot 

"— PETE E EE O 

Complete! 
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域名 解析 服务 Bind 的 程序 名 称 巴 做 named， 服 务 程序 的 配置 文件 如 下 : 


主 程 序 /usr/sbin/named 
Xm Ex /etc/named.conf 
区 域 配 置 文件 /etc/named.rfc1912.zones 


那么 先 来 分 析 下 主 配置 文件 吧 ( 有 两 处 需要 修改 ， 请 跟着 一 起 操作 .): 
[root@linuxprobe ~|# vim /etc/named.conf 

// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS 
// server as a caching only nameserver (as a localhost DNS resolver only). 
// See /usr/share/doc/bind*/sample/ for example named configuration files. 
options { 

// 将 下 行 中 的 127.0.0.1 修改 为 any， 代 表 允 许 监听 任何 IP 地 址 。 
listen-on port 53 | 127.0.0.1; }; 

listen-on-v6 port 53 1:1; }; 

directory "/var/named"; 

dump-file "/var/named/data/cache dump.db'"; 

statistics-file "/var/named/data/named stats.txt"; 
memstatistics-file "/var/named/data/named mem stats.txt"; 
// 将 下 行 中 的 localhost 修改 为 any， 代 表 人 允许 任何 主机 查询 。 
allow-query 1 localhost; }; 

recursion yes; 

dnssec-enable yes; 

dnssec-validation yes; 

dnssec-lookaside auto; 

/* Path to ISC DLV key */ 

bindkeys-file "/etc/named.iscdlv.key"; 

managed-keys-directory "/var/named/dynamic"; 

pid-file "/run/named/named.pid"; 

session-keyfile "/run/named/session.key"; 

5 

logging 1 

channel default debug 1 

file "data/named.run'; 

severity dynamic; 

[s 

5 


// 此 文件 内 定义 了 全 球 13 台 根 DNS 服务 器 的 IP 地 址 
zone "." IN { 

type hint; 

file "named.ca"; 


le 
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// 此 文件 保存 着 正 向 与 反 向 解析 的 区 域 信 息 ， 非 常 的 重要 。 


include "/etc/named.rfc1912.zones"; 

include "/etc/named.root.key"; 

当 用 户 访问 一 个 域名 时 (不 考虑 hosts 文件 等 因素 )， 正 和 常情 况 会 身 指定 的 DNS 主机 发 送 递归 查询 请 求 ， 如 果 该 DNS 主机 中 没 
有 该 域名 的 解析 信息 那么 会 不 断 向 上 级 DNS 主机 进行 迭代 查询 ， 其 中 最 高 等 级 (权威 ) 的 根 DNS 主机 有 13 合 ， 分 别 为 : 

根 DNS 服务 器 IP 地 址 文件 :/var/named/named.ca 


名 称 管理 单位 地 理 位 置 IP 地 址 

A INTERNIC.NET 美国 -弗吉尼亚 州 198.41.0.4 

B 美国 信息 科学 研究 所 美国 -加 利 弗 尼 亚 州 128.9.0.107 

C PSINet 公司 美国 -弗吉尼亚 州 192.33.4.12 

D 马里 兰 大 学 美国 -马里 兰州 128.8.10.90 

E 美国 航空 航天 管理 局 美国 加 利 弗 尼 亚 州 192.203.230.10 

F 因特网 软件 联盟 美国 加 利 弗 尼 亚 州 192.5.5.241 

G 美国 国防 部 网 络 信息 中 心 美国 弗吉尼亚 州 192.112.36.4 

H 美国 陆军 研究 所 美国 -马里 兰州 PRO 2a. 

I Autonomica 公司 瑞典 -斯 德 哥 尔 摩 192.36.148.17 

J VeriSign 公司 类 国 -弗吉尼亚 州 192.58.128.30 

K RIPE NCC 英国 -伦敦 193.0.14.129 

L IANA 类 国 -弗吉尼亚 州 199.7.83.42 

M- WIDE Project 日 本 -东京 202.12.27.33 
12.3 DNS 服务 的 解析 实验 


既然 要 开始 搭建 使 用 DNS 服务 程序 啦 ， 那 么 请 将 系统 的 DNS 地 址 修改 为 本 机 ， 这 样 才 能 看 到 实验 效果 哦 。 


root@Linuxprobe:/var/named -|O |X 
File Edit View Search Terminal Tabs Help 


| root@linuxprobe:/var/named | root@linuxprobe:/var/named 


Edit connection 


Profile name [DP EAE 
Device WORP EH A CST EYE FEES) 


= ETHERNET «Show» 


IPv4 CONFIGURATION «Manual» «Hide» 
Addresses IRPA LLR I <Remove> 


Gateway 


DNS servers <Remove> 
> 


Search domains «Add...» 


Routing (No custom routes) «Edit...» 
[ ] Never use this network for default route 


[X] Require IPv4 addressing for this connection 
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为 了 避免 经 常 修改 主 配置 文件 named.conf 而 导致 DNS 服务 出 错 ， 所 以 规则 的 区 域 信息 保存 在 了 ”/etc/named.rfc1912.zones“ 文 
件 中 ， 这 个 文件 用 于 定义 域名 与 IP 地 址 解析 规则 保存 的 文件 位 置 以 及 区 域 服务 类 型 等 内 容 ， 一 定 要 谨慎 修改 。 
正 向 解析 区 域 文 件 格 式 : 


zone “linuxprobe.com" IN { 


域名 与 iP 地 址 解析 规则 保存 
type master; 服务 类 型 的 文件 位 置 


file *linuxprobe.com.zone"; 


allow-update  ( none; ); 允许 那些 客户 机 动态 更 新 解析 信息 


y 


服务 类 型 可 以 有 三 种 :hint( 根 区 域 )、master( 主 区 域 )、slave( 辅 助 区 域 )。 
反 向 解析 区 域 文件 格式 : 





zone «10.168.192 in-addr.arpa" IN { 
type master; 


file "192.168.10.arpa"; 表示 为 192.168.10.0/24 网 段 的 反 向 解析 区 域 
}; 





zone 区 域 中 IP 信息 必需 反 写 (如 上 图 演示 )， 并 且 后 面 要 写 上 ”in-addr.arpa “。 
接 下 来 的 实验 中 会 分 别 对 主 配置 文件 、 区 域 信息 文件 与 区 域 数 据 文 件 做 修改 ， 当 怀疑 因 配 置 参 数 而 出 错时 可 执行 
named-checkconf 或 named-checkzone 命令 来 分 别 用 于 检查 主 配置 与 区 域 数 据 文 件 中 语法 或 参数 的 错误 。 
12.3.1 正 向 解析 实验 
第 1 步 :配置 区 域 数 据 信 息 。 
正 向 解析 的 作用 是 根据 主机 名 (域名 ) 查 找到 对 应 的 IP 地 址 ， 区 域 文 件 中 已 有 一 些 默 认 信息 ， 可 不 必 理 会 ， 直 接 在 下 面 追加 即 可 : 
[rootelinuxprobe ~|# vim /etc/named.rfc1912.zones 
zone "linuxprobe.com' IN | 
type master; 
file "linuxprobe.com.zone"; 
allow-update (none;j; 
j 
第 2 步 : 配置 解析 数据 信息 : 
我 们 可 以 直接 复制 正 向 解析 模板 文件 /var/named/named.localhost“， 填 写 信息 后 即 可 直接 使 用 。 
切换 工作 目录 到 bind(named) AH E X: 
[rootelinuxprobe ~|# cd /var/named/ 
查看 区 域 数 据 文件 的 权限 : 
[root@linuxprobe named|£ ls -al named.localhost 
-rW-r--—-. 1 root named 152 Jun 21 2007 named.localhost 
执行 cp 命令 时 加 入 -a， 代 表 连 通 复制 原来 文件 的 属性 、 所 有 者 、 组 等 信息 : 
[root@linuxprobe named|# cp -a named.localhost linuxprobe.com.zone 
编辑 linuxprobe.com 域名 的 区 域 数 据 文件 : 
[root@linuxprobe named|# vim linuxprobe.com.zone 
重启 named 服务 让 配置 文件 立即 生效 : 


[root@linuxprobe named|# systemctl restart named 


$TTL 1D  £&45HA 1 天 
@ IN SOA linuxprobe.com. root.linuxprobe.com.  ( 


# 授 权 信 息 开始 : #DNS 区 域 的 地 址 “ # 域 名 管理 员 的 邮箱 (不 要 用 @ 符 号 ) 


NS 
ns INA 
IN MX 10 
mail INA 
WWW INA 
bbs IN A 
第 3 步 :检验 解析 结果 。 
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ns.linuxprobe.com. 


192.168.10.10 


mail.linuxprobe.com. 


192.168.10.10 


192.168.10.10 


192.168.10.20 
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O;serial # 更 新 序列 号 
| D;refresh # 更 新 时 间 
1 H;retry # 重 试 延 时 
1 W;expire # 失 效 时 间 


3H;minimum # 无 效 解析 记录 的 缓存 
时 间 


# 域 名 服务 器 记录 

# 地 址 记录 (ns.linuxprobe.com,) 

# 邮 箱 交 换 记录 

# 地 址 记录 (mail.linuxprobe.com,) 
# 地 址 记录 (www.linuxprobe.com,) 


# 地 址 记录 (bbs.linuxprobe.com ) 


nslookup 命令 用 于 检测 能 否 从 网 络 DNS 服务 器 中 查询 到 域名 与 IP 地 址 的 解析 记录 ， 检 测 named 服务 的 解析 能 否 成 功 。 


此 为 查询 DNS 服务 器 的 信息 : 


[root@linuxprobe ~|# nslookup 


> Www.linuxprobe.com 
Server: 127.0.0.1 
Address: 127.0.0.1#53 


顺利 的 将 域名 的 对 应 IP 地 址 解析 出 来 了 : 


Name: www.linuxprobe.com 


Address: 192.168.10.10 
> bbs.linuxprobe.com 
Server: 127.0.0.1 
Address: 127.0.0.1#53 
Name: bbs.linuxprobe.com 
Address: 192.168.10.20 
> mail.linuxprobe.com 
server: 127.0.0.1 
Address: 127.0.0.1#53 
Name: mail.linuxprobe.com 
Address: 192.168.10.10 
» nslinuxprobe.com 
server: 127.0.0.1 
Address: 127.0.0.1#53 
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Name: ns.linuxprobe.com 
Address: 192.168.10.10 
12.3.2. 反 向 解析 实验 
反 向 解析 的 作用 是 根据 IP 地 址 查找 到 对 应 的 主机 名 (域名 )， 在 区 域 文件 (named.rfc1912.zones) 中 默认 已 存在 一 些 
注释 内 容 与 区 域 信息 ， 可 不 需要 删除 上 面 实验 及 默认 区 域 信息 ， 直 接 在 下 面 追 加 即 可 。 
第 1 步 : 配置 区 域 数 据 信 息 。 
[root@linuxprobe ~|# vim /etc/named.rfc1912.zones 
zone "10.168.192.in-addr.arpa" IN { 
type master; 
file *192.168.10.arpa"; 
5 
第 2 步 : 配置 解析 数据 信息 。 
反 向 解析 数据 文件 模版 为 :”/var/named/named.loopback“， 我 们 可 复制 并 填写 信息 后 即 可 直接 使 用 : 
[rootelinuxprobe named|# cp -a named.loopback 192.168.10.arpa 
编辑 192.168.10.0/24 网 段 的 数据 文件 : 
[root@linuxprobe namedj# vim 192.168.10.arpa 


$TTL 1D 

@ IN SOA linuxprobe.com. root.linuxprobe.com. ( 
O;serial 
| D;refresh 
| H;retry 
1 W;expire 
3H);minimum 

NS ns.linuxprobe.com. 

ns A 192.168.10.10 

10 PTR ns.linuxprobe.com. #PTR 为 指针 记录 ， 仅 用 于 反 向 解析 中 。 

10 PTR mail.linuxprobe.com. 

10 PTR www.linuxprobe.com. 

20 PTR bbs.linuxprobe.com. 







www.linuxprobe.com. 
bbs.linuxprobe.com. 


在 192.168.10.in-addr.arpa 反 向 区 域 数 据 文件 中 ， 则 对 应 为 192.168.10.20 的 IP 地 址 


(Linux LZ XX AA 5$) 

第 3 步 :检验 解析 结果 。 
重启 named 服务 程序 ， 让 配置 文件 立即 生效 : 
[root@linuxprobe ~|# Systemctl restart named 
执行 nslookup 命令 检查 反 向 解析 结果 : 
[root@linuxprobe ~|# nslookup 

> 192.168.10.10 

Server: 127.0.0.1 

Address: 127.0.0.1#53 
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10.10.168.192.in-addr.arpa name = ns.linuxprobe.com. 


10.10.168.192.in-addr.arpa name = www.linuxprobe.com. 


10.10.168.192.in-addr.arpa name = maillinuxprobe.com. 


> 192.168.10.20 
Server: 127.0.0.1 
Address: 127.0.0.1#53 


20.10.168.192.in-addr.arpa name = bbs.linuxprobe.com. 


12.4 WE AJ A de 


真实 网 络 环境 中 一 合 主 服 务 器 往往 不 能 满足 所 有 用 户 的 需求 ，” 从 服务 器 ”可 以 从 主 服务 器 上 抓 取 指定 的 区 域 数 据 
文件 ， 起 到 备份 解析 记录 与 负载 均衡 的 作用 ， 配 置 过 程 大 致 流程 : 

1: 在 主 服务 器 的 区 域 信 息 文 件 中 允许 该 从 服务 恬 的 更 新 请 求 ， 并 重新 加 载 配 置 文件 。 

2: 在 从 服务 器 中 填写 主 服 务 器 地 址 与 要 抓 取 的 区 域 信息 ， 并 重新 加 载 配置 文件 。 

3: 在 从 服务 器 中 查看 /var/named/slaves 目录 或 使 用 nslookup 验证 试验 结果 。 


试验 环境 中 主机 名 称 与 卫 地 址 (两 合 ) 


主机 名 称 操作 系统 
xA de 2r RHEL7 操作 系统 
P CE 红 帽 RHEL7 操作 系统 


第 1 步 :修改 主 服 务 器 中 区 域 信 息 文 件 : 

allow-update { 允许 更 新 区 域 信息 的 主机 地 址 ;): 
[root@linuxprobe ~|# vim /etc/named.rfc1912.zones 
zone "linuxprobe.com" IN { 

type master; 

file "linuxprobe.com.zone"; 

allow-update { 192.168.10.20; j; 

上 


zone "10.168.192.in-addr.arpa" IN { 

type master; 

file "192.168.10.arpa"; 

allow-update { 192.168.10.20; j; 

重启 named 服务 程序 ， 让 配置 文件 立即 生效 : 


[root@linuxprobe ~|# systemctl restart named 


IP 地 址 


192.168.10.10 


192.168.10.20 
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第 2 步 :修改 从 服务 器 中 的 区 域 信息 文件 。 
必须 将 主 配置 文件 ”/etc/named.conf“ 中 的 监听 地 址 与 允许 查询 地 址 修改 为 any， 另 外 在 区 域 文件 
(named.rfc1912.zones) 中 默认 已 存在 一 些 注释 内 容 与 区 域 信息 ， 可 不 必 理 会 ， 只 需 将 新 的 区 域 信息 写 到 后 面 即 可 : 
[root@linuxprobe ~|# vim /etc/named.rfc1912.zones 
zone "linuxprobe.com' IN { 
// 请 注意 服务 类 型 必需 是 slave， 而 不 能 是 master. 
type slave; 
// 指 定 主 DNS 服务 器 的 IP 地 址 。 
masters { 192.168.10.10; 上 
// 此 为 缓存 到 区 域 文件 后 保存 的 位 置 和 名 称 。 
file "slaves/linuxprobe.com.zone"; 
5 
zone "10.168.192. in-addr.arpa' IN { 
type slave; 
masters { 192.168.10.10; 上 
file 'slaves/192.168.10.arpa"; 
5 
因为 在 红 帽 RHCSA、RHCE 或 RHCA 考试 后 都 要 重启 您 的 实验 机 再 执行 判 分 脚本 。 
所 以 请 读者 在 日 常 工作 中 也 要 记得 将 需要 的 服务 加 入 到 开机 启动 项 中 :”systemctl enable named “。 
第 3 步 :验证 试验 成 果 〔 请 确认 DNS 地 址 为 192.168.10.20)。 
重启 named 服务 程序 ， 让 配置 文件 立即 生效 : 
[root@localhost named|# systemctl restart named 
当前 已 经 在 named 服务 的 数据 文件 目录 了 : 
[root@localhost named|# pwd 
/var/named 
果然 在 slaves 目录 中 出 现 了 主 服务 器 中 的 区 域 文件 : 
[root?]ocalhost named] # ls slaves/ 
192.168.10.arpa linuxprobe.com.zone 
使 用 nslookup 命令 看 看 解析 能 否 成 功 吧 : 
[root@localhost namedj# nslookup 
> Www.linuxprobe.com 
Server: 192.168.10.20 
Address: 192.168.10.20#53 
Name: www.linuxprobe.com 
Address: 192.168.10.10 


> 192.168.10.10 

Server: 192.168.10.20 

Address: 192.168.10.20#53 

10.10.168.192.in-addr.arpa name = www.linuxprobe.com. 
10.10.168.192.in-addr.arpa name = ns.linuxprobe.com. 


10.10.168.192.in-addr.arpa name = mail.linuxprobe.com. 
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12.5 安全 的 加 密 传 输 

DNS 服务 是 互联 网 的 基础 建设 设施 ， 几 乎 所 有 的 网 络 应 用 都 依赖 于 DNS 服务 做 出 的 查询 结果 ， 如果 互联 网 中 的 DNS 
服务 不 能 正常 提供 解析 服务 ， 那 么 即使 Web 或 Email 服务 都 运行 正常 ， 也 无 法 让 用 户 顺 利 使 用 到 它们 了 。 

13 台 根 DNS 服务 器 以 及 互联 网 中 的 DNS 服务 器 绝 大 多 数 (超过 95 允 是 基于 BIND 服务 程序 搭建 的 ，BIND 服务 程序 
为 了 能 够 安全 的 提供 解析 服务 而 支持 了 TSIG(TSIGRFC 2845) 加 密 机 制 ，TSIG 主要 是 利用 密码 编码 方式 保护 区 域 信 
息 的 传送 (Zone Transfer)， 也 就 是 说 保证 了 DNS 服务 器 之 间 传 送 区 域 信 息 的 安全 。 

TSIG 仅 有 一 组 密码 ， 而 不 区 分 公 / 私 钥 ， 所 以 一 般 只 会 分 配给 可 信任 的 从 服务 器 。 

本 实验 基于 上 面 的 主 服 务必 与 从 服务 器 的 配置 ， 请 读者 自行 准备 DNS 实验 环境 ，IP 地 址 要 求 如 下 : 


主机 名 称 操作 系统 IP 地 址 
主 服 务 器 2 RHELT7 操作 系统 192.168.10.10 
从 服务 器 2r'ü RHEL7 操作 系统 192.168.10.20 


书 接 上 章 ， 重 新 启动 named 服务 后 可 以 看 到 slaves 目录 中 出 现 区 域 数 据 文件 。 
[root@linuxprobe ~|# Systemctl restart named 

[rootelinuxprobe ~|# Is -al /var/named/slaves/ 

total 12 

drwxrwx--. 2 named named 54 Jun 7 16:02. 

drwxr-x---. 6 root named 4096 Jun 7 15:58 .. 

-rW-r-r--. | named named 432 Jun 7 16:02 192.168.10.arpa 

-rw-r-r--. | named named 439 Jun 7 16:02 linuxprobe.com.zone 

第 1 步 : XH AGED EXE 

dnssec-keygen 命令 用 于 生成 安全 的 DNS RASHA, AX: ”dnssec-keygen [参数 ] “。 


参数 作用 

zd 指定 加 密 算法 (包括 :RSAMD5 (RSA) RSASHA1,. DSA, NSEC3RSASHA1, NSEC3DSA 等 ) 
密 钥 长 度 (HMAC-MD5 长 度 在 1-512 位 之 间 ) 

n 密 钥 的 类 型 (HOST 为 与 主机 相关 的 ) 


密 钥 参数 : 128 位 HMAC-MD5 算法 ， 主 机 名 称 叫做 master-slave. 
[root@linuxprobe ~|# dnssec-keygen -a HMAC-MD5 -b 128 -n HOST master-slave 
Kmaster-slave.+157+46845 

查看 下 生成 出 的 密 钥 文件 (依次 为 公 钥 与 密 钥 ) : 

[rootelinuxprobe ~|# Is -al Kmaster-slave.-157446845.* 

-TW------- . 1 root root 56 Jun 7 16:06 kmaster-slave.+157+46845.key 
-TW------- . 1 root root 165 Jun 7 16:06 Kmaster-slave.+157+46845.private 
查看 私 钥 内 容 (把 Key 的 值 记 录 下 来 ) 

[root@linuxprobe ~|# cat Kmaster-slave.+157+46845.private 
Private-key-format: v1.3 

Algorithm: 157 (HMAC MD5) 

Key: 1 XEEL3tG5DNLOw+ 1 WHfE3Q== 

Bits: AAA= 


DASS 
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Created: 20150607080621 

Publish: 20150607080621 

Activate: 20150607080621 

第 2 步 : 在 主 服 务 器 上 创建 密 钥 验证 文件 : 

[root@linuxprobe ~|# vim /var/named/chroot/etc/transfer.key 

// 依 次 为 密 钼 名 称 、 密 钥 加 密 类 型 以 及 私 钥 的 Key 值 。 

key "master-slave" { 

algorithm hmac-md5; 

secret "IXEELStGBDNLOw-«1WHfE3Q--" 

i: 

设置 transfer.key 文件 的 所 有 者 和 组 : 

[root@linuxprobe ~|# chown root.named /var/named/chroot/etc/transfer.key 
为 了 更 加 的 安全 ， 设 置 权限 为 640 (rw-r 一 一 ): 

[root@linuxprobe ~|# chmod 640 /var/named/chroot/etc/transfer.key 

将 密 钢 文件 做 硬 链接 到 /etc 目录 中 : 

[root@linuxprobe ~|# In /var/named/chroot/etc/transfer.key /etc/transfer.key 
第 3 步 : HAERA SENI E A UE Eo 

开局 密 钥 验证 功能 〈 修 改 如 下 图 ) : 

[rootelinuxprobe ~|# vim /etc/named.conf 


root(glinuxprobe:*/Desktop 


File Edit View Search Terminal Tabs Help 

| 

| root@linuxprobe:~/Desktop | root@linuxprobe:~/Desktop 
// named.conf 

py 


// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS 
// server as a caching only nameserver (as a localhost DNS resolver only). 


// See /usr/share/doc/bind*/sample/ for example named configuration files. 





listen-on port 53 ( any; }; 
listen-on-v6 port 53 ( ::1; }; 
directory "/var/named"; 
dump -file "/var/named/data/cache dump.db"; 
statistics-file "/var/named/data/named stats.txt"; 
memstatistics-file "/var/named/data/named mem stats.txt"; 
a QW - CILIG [7 E x e i u 
allow-transfer { key master-slave; }; 





- If you are building an AUTHORITATIVE DNS server, do NOT enable recurs 
- If you are building a RECURSIVE (caching) DNS server, you need to ena 


第 4 步 : 验证 试验 成 果 (无 法 获得 区 域 数 据 信 息 了 )。 
将 从 服务 器 之 前 获取 到 的 区 域 数 据 文件 都 删除 掉 : 
[rootelinuxprobe ~|# rm -rf /var/named/slaves/* 
重新 启动 named 服务 程序 : 

[root&linuxprobe ~|# Systemctl restart named 

有 果然 此 时 已 经 无 法 获取 到 区 域 数 据 文 件 了 : 
[root&linuxprobe ~|# ls -al /var/named/slaves/ 
total 4 

drwxrwx---. 2 named named 6 Jun 7 17:17 . 
drwxr-x---. 6 root named 4096 Jun 7 15:58 .. 

第 5 步 : 配 置 从 服务 器 支 持 密 钥 验 证 。 

先 将 密 钥 文 件 从 主 服 务 器 中 传送 到 从 服务 器 : 
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[root@linuxprobe ~|# scp /var/named/chroot/etc/transfer.key roote 192.168.10.20:/var/named/chroot/etc 


The authenticity of host '192.168.10.20 (192.168.10.20)' can't be established. 
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ECDSA key fingerprint is 4fa7:91:9e:8d:6fb9:48:02:32:61:95:48:ed:le:3f 
Are you sure you want to continue connecting (yes/no)? yes 
Warning: Permanently added '192.168.10.20' (ECDSA) to the list of known hosts. 
root? 192.168.10.20's password: 此 处 输入 对 方 主机 的 root 用 户 密码 。 
transfer.key 10096 81 O.1KB/s 00:00 
进入 到 从 服务 器 的 named 服务 的 数据 目录 中 : 
[root&linuxprobe ~|# cd /var/named/chroot/etc 
查看 下 刚刚 transfer.key 有 没有 成 功 传送 过 来 : 
[root@localhost etc|# Is -al transfer.key 
-TW-r-----. 1 root root 81 Jun 7 17:20 transfer.key 
修改 文件 的 所 有 者 和 所 有 组 : 
[root@localhost etc|# chown root:named transfer.key 
创建 文件 链接 : 
[root@localhost etc|# In transfer.key /etc/transfer.key 
编辑 主 配置 文件 设置 支持 密 钢 验 证 〈《 有 两 处 配置 ， 请 看 下 图 )。 


[root&localhost etc|# vim /etc/named.conf 


root()localhost:/var/named/chroot/etc -|H 


File Edit View Search Terminal Help 
// 
// named.conf 


// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS 
// server as a caching only nameserver (as a localhost DNS resolver only). 
// 
// See /usr/share/doc/bind*/sample/ for example named configuration files. 
/ / 





listen-on port 53 ( any; }; 

listen-on-v6 port 53 ( ::1; }; 

directory "/var/named"; 

dump -file "/var/named/data/cache dump.db"; 
statistics-file "/var/named/data/named stats.txt"; 
memstatistics-file "/var/named/data/named mem stats.txt"; 
allow-query ( any; }; 


/ 
/ * 


- If you are building an AUTHORITATIVE DNS server, do NOT enable recurs 


ion. 

- If you are building a RECURSIVE (caching) DNS server, you need to ena 
ble 
"/etc/named.conf" 58L, 1598C written 9,28 Top 


请 先 不 要 着 急 退出 山 请 在 大 约 43 行 部 分 追加 以 下 内 容 : 
server RAA IP Hak { 
keys { 密 钥 名 称 六 
|? 


root(Qlocalhost:/var/named/chroot/etc - | 口 
File Edit View Search Terminal Help 
bindkeys-file "/etc/named.iscdlv.key"; 


managed-keys-directory "/var/named/dynamic"; 


pid-file "/run/named/named.pid"; 
session-keyfile "/run/named/session.key"; 


}; 
server 192.168.10.10( 
keys { master-slave; ); 


)B 
logging ( 
channel default debug { 
file "data/named.run"; 
severity dynamic; 
F; 
}; 
zone "." IN { 
type hint; 
file "named.ca"; 
e 
"/etc/named.conf" 61L, 1648C written 45,2 92% 


因为 在 红 帽 RHCSA、RHCE 或 RHCA 考试 后 都 要 重启 您 的 实验 机 再 执行 判 分 脚本 。 

所 以 请 读者 在 日 常 工作 中 也 要 记得 将 需要 的 服务 加 入 到 开机 启动 项 中 :”systemctl enable named “。 
第 6 步 :验证 试验 成 果 ( 成 功 获 取 区 域 数据 信息 )。 

重新 启动 从 服务 器 的 named 服务 程序 : 
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[root@linuxprobe ~|# Systemctl restart named 
果然 又 在 slaves 目录 中 看 到 了 区 域 数 据 文件 了 : 
[root@linuxprobe ~|# Is -al /var/named/slaves/ 
total 12 
drwxrwx---. 2 named named 54 Jun 7 17:29. 
drwxr-x—-. 6 root named 4096 Jun 7 15:58 .. 
-rw-r-r--. | named named 432 Jun 7 17:29 192.168.10.arpa 
-rw-r-r--. | named named 439 Jun 7 17:29 linuxprobe.com.zone 
12.6 WA AERA d 
A 11) Ars (Caching DNS ServeD 是 一 种 不 负责 域名 数据 维护 ， 也 不 负责 域名 解析 的 DNS RIXE, HORA GE 
将 用 户 经 党 使 用 到 得 域名 与 IP 地 址 解析 记录 保存 在 主机 本 地 中 ， 提 升 下 次 解析 的 效率 ， 所 以 一 般 用 于 对 高 品质 上 网 
有 需求 的 内 网 之 中 ， 配 置 流程 为 : 
第 1 步 :配置 系统 的 双 网 卡 参数 。 
第 2 步 :在 主 配置 文件 中 添加 缓存 转发 参数 。 
第 3 步 :重启 DNS 服务 后 验证 成 果 。 
试验 环境 中 主机 名 称 与 IP 地 址 〈 两 台 ) 


主机 名 称 操作 系统 IP 地 址 
缓存 服务 器 红 帽 RHEL7 操作 系统 网 卡 (外 网 ): 根 据 实际 情况 DHCP 或 手工 指定 IP 地 址 与 网 关 等 信息 。 


网 卡 ( 内 网 ):192.168.10.10 


客户 端 红 帆 RHEL7 操作 系统 192.168.10.20 
第 1 步 :配置 系统 的 双 网 卡 参 数 。 


如 前 面 介 绍 的 缓存 服务 器 一 般 用 于 企业 内 网 中 ， 起 到 减少 内 网 用 己 查 询 DNS 的 消耗 ， 那 么 为 了 更 加 的 贴近 实际 网 络 
环境 、 实 现 外 网 查询 功能 ， 需 要 为 缓存 服务 器 中 再 添加 一 块 网 卡 。 
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ms 3 4 将 网 络 类 型 修改 为 “ 仅 主机 模式 
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第 4 步 将 原先 第 一 块 网 卡 类 型 修改 为 “桥接 模式 ” 
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使 用 nmtui 工具 将 第 1 块 网 卡 的 IP 地 址 方法 修改 为 模式 (请 读者 根据 实际 上 网 环境 来 设置 ): 





root@linuxprobe:~/Desktop 
File Edit View Search Terminal Help 
Edit connection 


Profile name E 
Device 


= ETHERNET 


= [Pv4 CONFIGURATION «Automatic» 
= [Pv6 CONFIGURATION «Automatic» 


[ ] Automatically connect 
[X] Available to all users 


«Cancel» EM 








新 添加 的 网 卡 (第 2 块 ) 在 nmtui 工具 列表 中 还 没有 显示 ， 需 要 聪明 的 读者 们 动手 添加 下 : 
第 1 步 : 添加 一 块 新 的 网 卡 设备 。 
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File Edit View Search Terminal Help 








第 2 步 : 选择 网 络 链接 类 型 。 


File Edit View Search Terminal Help 





第 3: 填写 网 络 名 称 与 IP 地 址 等 信息 


File Edit View Search Terminal Help 


Ro uting 








第 4 步 : 看 到 添加 成 功 后 退出 即 可 。 


File Edit View Search Terminal Help 
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第 5 步 : mih 激活 一 个 网 络 链接 。 


File Edit View Search Terminal Help 


Please select an option 


Edit a connection 
Quit 
<0K> 








第 6 步 : 激活 后 退出 ， 再 次 查看 网 卡 信息 。 


File Edit View Search Terminal Help 
——3 
' 





puoi os 人 








当 各 位 读者 配置 成 功 后 网 卡 应 该 都 会 显示 出 正确 的 IP 地 址 啦 : 
| root@linuxprobe:~/Desktop uum 


File Edit View Search Terminal Help 


[rootaülinuxprobe Desktop]# ifconfig 

enol6777736: flags-4163«UP,BROADCAST,RUNNING,MULTICAST-» mtu 1500 
inet 192.168.1.104 netmask 255.255.255.0 broadcast 192.168.1.255 
inet6 fe80::20c:29ff:feab:aaaf prefixlen 64 scopeid O0x20«link» 
ether 00:0c:29:ab:aa:af txqueuelen 1000 (Ethernet) 
RX packets 508 bytes 39687 (38.7 KiB) 
RX errors 9 dropped O overruns O frame 0 桥接 E 
TX packets 53 bytes 6835 (6.6 KiB) 
TX errors 0 dropped © overruns 9 carrier © collisions 0 





eno33554984: fLags=4163<UP ,BROADCAST ,RUNNING ,MULTICAST> mtu 1500 
inet 192.168.10.10 netmask 255.255.255.0 broadcast 192.168.10.255 
inet6 fe80::20c:29ff:feab:aab9 prefixlen 64 scopeid 0x20«link» 
ether 80:0c:29:ab:aa:b9 txqueuelen 1000 (Ethernet) 
RX packets 76 bytes 7596 (7.4 KiB) 


RX errors 9 dropped © overruns © frame G 


TX packets 29 bytes 4221 (4.1 KiB) 

TX errors @ dropped © overruns 0 carrier © collisions 0 
lo: flags-73«UP,LOOPBACK,RUNNING» mtu 65536 

inet 127.0.0.1 netmask 255.0.0.0 

inet6 ::1 prefixlen 128 scopeid OxlO«host» 

loop txqueuelen © (Local Loopback) 

RX packets 905 bytes 73464 (71.7 KiB) 

RX errors 9 dropped © overruns © frame 9 

TX packets 905 bytes 73464 (71.7 KiB) 

TX errors 9 dropped O overruns 9 carrier O collisions 0 


[rootalinuxprobe Desktop]£$ 


第 2 步 :在 主 配置 文件 中 添加 缓存 转发 参数 。 

缓存 服务 器 的 配置 步骤 非常 简单 ， 首 先 安装 bind 服务 (yum install named -y), E fat 3: EG xt: 
[root@linuxprobe ~|# vim /etc/named.conf 

将 监听 IP 端口 与 允许 查询 主机 修改 为 any, 再 添加 一 行 ”forwarders { 上游 DNS 服务 属地 址 ; };” 

Lit DNS 服务 器 地 址 指 的 是 从 何 处 取得 区 域 数 据 文件 ， 主 要 对 比 查 询 速 度 、 稳 定性 、 安 全 性 等 因素 。 

本 次 使 用 北京 市 DNS RAA” 210.73.64.11" ， 请 读者 选择 前 先 Ping 下 能 否 通信 ， 否 则 可 能 会 导致 解析 失败 1 
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root@linuxprobe:~/Desktop -|Hx 


File Edit View Search Terminal Tabs Help 





root(QBlinuxprobe:-/Desktop < |root(Qlinuxprobe:-/Desktop x 


// named.conf 


// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS 
// server as a caching only nameserver (as a localhost DNS resolver only). 


// See /usr/share/doc/bind*/sample/ for example named configuration files. 


options ( 


listen-on port [re] 

listen-on-v6 port vals Jo 

directory "/var/named" ; 

dump -file "/var/named/data/cache dump.db"; 


statistics-file "/var/named/data/named stats.txt"; 
DIS ol ununi aaanesdydataxnamed mem stats.txt"; 
allow-query 


"dus 
- If you are building an AUTHORITATIVE DNS server, do NOT enable recurs 









ion. 
- If you are building a RECURSIVE (caching) DNS server, you need to ena 
ble 
recursion. 
- If your recursive DNS server has a public IP address, you MUST enable 
access 
control to limit queries to your legitimate users. Failing to do so w 
ill 
"/etc/named.conf" 59L, 1600C 17,2-9 Top 





第 3 步 :重启 DNS 服务 后 验证 成 果 。 


将 客户 端的 网 卡 DNS 地 址 指向 缓存 服务 器 (192.168.10.10)， 配 置 网 卡 应 该 已 经 很 


root@localhost:~/Desktop -|H 


File Edit View Search Terminal Help 


Edit connection 


Profile name 
Device 


- ETHERNET 
IPv4 CONFIGURATION «Manual» 


Addresses «Remove» 
"EE. 


| «Remove» 
Search domains «Add...» 


Routing (No custom routes) «Edit...» 
[ ] Never use this network for default route 


[X] Require IPv4 addressing for this connection 





修改 完 主 配置 文件 后 请 将 named 服务 重启 : 


[root&linuxprobe ~|# Systemctl restart named 


E 
BN 


Af, 


1 


恨 简单 了 吧 : 


使 用 nslookup 命令 验证 实验 成 果 ( 如 果 解 析 不 成 功 ， 请 读者 多 留意 下 是 不 是 上 游 DNS 选择 的 问题 ): 


[root@linuxprobe ~|# nslookup 
> Www.linuxprobe.com 

Server: 192.168.10.10 
Address: 192.168.10.10#53 


Non-authoritative answer: 
Name: www.linuxprobe.com 
Address: 113.207.76.73 
Name: www.linuxprobe.com 
Address: 116.211.121.154 


再 来 尝试 下 反 向 查询 吧 (此 为 google 的 免费 DNS 服务 器 地 址 ) : 


> 8.8.8.8 
Server: 192.168.10.10 
Address: 192.168.10.103:53 


Non-authoritative answer: 
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8.8.8.8.in-addr.arpa name = google-public-dns-a.google.com. 
Authoritative answers can be found from: 

in-addr.arpa nameserver = f.in-addr-servers.arpa. 
in-addr.arpa nameserver = b.in-addr-servers.arpa. 
in-addr.arpa nameserver = a.in-addr-servers.arpa. 
in-addr.arpa nameserver = e.in-addr-servers.arpa. 
in-addr.arpa nameserver = d.in-addr-servers.arpa. 
in-addr.arpa nameserver = c.in-addr-servers.arpa. 
a.in-addr-servers.arpa internet address = 199.212.0.73 
a.in-addr-servers.arpa has AAAA address 2001:500:13:73 
b.in-addr-servers.arpa internet address - 199.253.183.183 
b.in-addr-servers.arpa has AAAA address 2001:500:87::87 
c.in-addr-servers.arpa internet address = 196.216.169.10 
c.in-addr-servers.arpa has AAAA address 2001:43f8:110::10 
d.in-addr-servers.arpa internet address - 200.10.60.53 
d.in-addr-servers.arpa has AAAA address 2001:13c7:7010:53 
e.in-addr-servers.arpa internet address = 203.119.86.101 
e.in-addr-servers.arpa has AAAA address 2001:dd8:6::101 
f.in-addr-servers.arpa internet address = 193.0.9.1 
f.in-addr-servers.arpa has AAAA address 2001:67c:e0::1 


12.7 分 离 解析 技术 

假如 喜欢 《Linux 就 该 这 么 学 》 的 海外 留学 生 越 来 起 多 ， 但 网 站 服务 恬 架 设 在 北京 市 ， 那 么 留学 生 访问 起 来 速度 一 定 

很 慢 ， 而 将 服务 器 架 设 在 美国 ， 那 又 会 让 国内 用 己 访问 变 得 很 麻烦 ， 于 是 我 们 便 可 以 采用 分 离 解析 的 办 法 ， 虽 然 访问 

的 是 相同 的 网 址 ， 但 国内 用 己 访问 北京 服务 恬 ， 而 留学 生 则 直接 访问 美国 服务 器。 

分 离 解析 : 当 来 自 于 不 同 IP 地 址 的 用 户 查询 相同 域名 时 会 为 其 提供 不 同 的 解析 结果 ， 大 致 流程 为 : 

第 15: 在 区 域 信息 文件 中 填写 不 同 的 Zone 区 域 信息 。 

第 2 步 : 建立 独立 的 区 域 数据 文件 。 

第 3 步 : 重新 启动 named 服务 并 验证 结果 。 

那么 为 了 解决 《Linux 就 该 这 么 学 》 访 问 速 度 的 问题 ， 站 务 管理 员 已 经 在 美国 架设 好 了 网 站 服务 器 ， 请 您 部 署 DNS 服务 器 并 
实现 分 离 解 析 功 能 ， 北 京 用 户 与 美国 用 户 访问 相同 域名 时 解析 出 不 同 的 IP 地 址 ， 拓 扑 如 下 : DNS 分 离 解 析 拓 四 





北京 机 房 :122.71.155.15 





北京 用 户 :122| 





eno16777736:122./1.115.10 
eno33554984:106.185.25.10 








- Ey as è 
海外 留学 生 :106.185.251 美国 机 房 -106.185 25 15 


主机 名 称 操作 系统 IP 地 址 
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DNS 服务 器 2r'"H RHEL7 操作 系统 北京 网 络 :122.71.115.10 


美国 网 络 :106.185.25.10 


北京 用 户 Windows7 1227 L15541 
海外 用 户 Windows7 106.185.25.1 


请 读者 先 动手 安装 下 BIND 服务 (“yum install bind-chroot -y“)， 并 将 其 加 入 到 开机 启动 项 中 。 

第 1 步 : 在 区 域 信息 文件 中 填写 不 同 的 Zone 区 域 信 息 。 

修改 主 配置 文件 ”Vetc/named.conf“， 将 监听 端口 与 允许 查询 主机 修改 为 any， 并 将 约 在 51 行 的 根 域 信 息 删 除 掉 : 
zone "." IN { 

type hint; 

file 'name.ca"; 

5 
编辑 区 域 信息 文件 ”/etc/named.rfc1912.zones“， 清 空 该 文件 所 有 默认 的 数据 并 添加 以 下 内 容 : 
//ACL 定义 了 china 与 american 分 别 对 应 的 IP 地址 ， 以 下 就 不 需要 写 IP 地 址 了 。 

acl "china" { 122.71.115.0/24:}: 

acl "american" { 106.185.25.0/24:;}; 

// 匹 配 所 有 china 内 的 IP 地 址 ， 对 应 的 域名 数据 文件 为 linuxprobe.com.china。 

view "china { 

match-clients { "china"; y; 

zone "linuxprobe.com' { 

type master; 

file "linuxprobe.com.china"; 

5 

上 

// 匹 配 所 有 american 内 的 IP 地 址 ， 对 应 的 域名 数据 文件 为 linuxprobe.com.american。 

view "american" { 

match-clients { "american"; y; 

zone "linuxprobe.com' { 

type master; 

file "linuxprobe.com.american"; 

上 

上 

这 样 来 自 不 同 IP 地 址 的 用 户 访问 linuxprobe.com 域 时 就 会 访问 不 同 的 区 域 数据 文件 ， 从 而 达到 了 分 离 解 析 的 作用 。 
第 2 步 : 建立 独立 的 区 域 数 据 文件 。 

切换 工作 目录 到 named 服务 目录 中 : 

[root@linuxprobe ~|# cd /var/named 

分 别 复制 出 两 份 域名 区 域 文件 数据 的 模板 : 

[root@linuxprobe named|# cp -a named.localhost linuxprobe.com.china 


[root@linuxprobe named|# cp -a named.localhost linuxprobe.com.american 
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编辑 对 中 国 用 户 有 效 的 域名 区 域 数据 文件 vim linuxprobe.com.china: 
$TTL 1D 。 # 生 存 周期 为 1 天 


@ IN SOA linuxprobe.com. root.linuxprobe.com.  ( 
# 授 权 信息 开始 : #DNS 区 域 的 地 址 “# 域 名 管理 员 的 邮箱 (不 要 用 @ 符 号 ) 
O:serial # 更 新 序列 号 
1 D;refresh # 更 新 时 间 
1 H;retry # 重 试 延 时 
1 W:expire # 失 效 时 间 


3H;minimum ”# 无 效 解析 记录 的 缓存 


时 间 

NS ns.linuxprobe.com. # 域 名 服务 发 记录 
ns IN A t22 71155310 # 地 址 记录 (ns.linuxprobe.com) 
WWW INA 15222 ls # 地 址 记录 (www.linuxprobe.com.,) 

编辑 对 美国 用 户 有 效 的 域名 区 域 数据 文件 vim linuxprobe.com.american: 

$TTL 1D  # 生 存 周 期 为 1 天 
@ IN SOA linuxprobe.com. rootlinuxprobe.com.  ( 

# 授 权 信 息 开 始 : #DNS 区 域 的 地 址 “# 域 名 管理 员 的 邮箱 (不 要 用 @ 符 号 ) 

O:serial # 更 新 序列 号 


1 D;irefresh # 更 新 时 间 
1 H;retry # 重 试 延 时 
1 W;expire # 失 效 时 间 


3H;minimum  ”# 无 效 解 析 记 录 的 缓存 
时 间 


NS ns.linuxprobe.com. # 域 名 服务 发 记录 
ns IN A 106.185.25.10 # 地 址 记录 (ns.linuxprobe.com) 


WWW IN A 106.185.25.15 tb (www.linuxprobe.com.) 
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第 3 步 : 重新 启动 named 服务 并 验证 结果 。 
开启 两 台 windows7 系统 的 虚拟 机 ， 分 别 模拟 中 国 与 美国 IP 地 址 后 执行 ”nslookup www.linuxprobe.com “， 
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第 13 X 使 用 DHCP 动态 管理 主机 地 址 。 
章节 人 简 述 : 
DHCP 协议 服务 能 够 自动 化 的 管理 局 域 网 内 的 主机 IP 地 址 ， 有 效 的 提升 IP 地 址 使 用 率 , 提高 配置 效率 , 减少 管理 与 维护 成 本 。 
学 习 dhcpd 服务 程序 的 使 用 方法 并 逐条 讲解 配置 参数 ， 完 整 演 示 自 动 化 分 配 IP 地 址 、 绪 定 IP 地 址 与 mac 地 址 等 实验 。 
DHCP 中 继 代 理 技术 是 多 个 物理 网 段 共同 一 全 DHCP 服务 恬 的 最 佳 解 决 方案 ， 运 维 人 员 必 学 的 实用 技术 之 一 。 


13.1 动态 主机 管理 协议 

DHCP 动态 主机 管理 协议 (Dynamic Host Configuration UDP 协议 且 仅 限 用 于 局 域 网 的 网 络 协 
议 ， 主 要 用 途 是 为 局 域 网 内 部 设备 或 网 络 供应 商 自 动 分 配 IP 地址 ， 通 常会 应 用 在 大 型 的 局 域 网 环境 中 或 局 域 网 内 
存在 比较 多 的 移动 办 公设 备 ，DHCP 协议 能 够 实现 集中 的 管理 、 分 配 IP 地 址 。 

DHCP 服务 程序 能 够 使 局 域 网 内 的 主机 自动 且 动 态 的 获取 IP 地 址 、 子 网 掩 码 、 网 关 地 址 以 及 DNS 服务 器 地 址 等 信 
息 ， 且 能 够 有 效 的 提升 地 址 使 用 率 ， 提 高 配置 效率 ， 减 少 管理 和 维护 成 本 。 






















DHCP 专 现 一 一 二 
EN —— 
EN. — — 
AES — — mi 
客户 机 DHCP 服 务 端 


DHCP 协议 能 够 保证 任何 IP 地 址 在 同一 时 刻 只 能 由 一 台 DHCP 客户 机 使 用 ， 且 能 够 为 指定 主机 分 配 固定 的 全 地 
址 。 


DHCP 服 务 器 
|^ 192.168.10.0/24 





DHCP 服务 程序 的 常见 术语 : 
作用 域 :一 个 完整 的 IP 地 址 段 ，DHCP 服务 根据 作用 域 来 管理 网 络 的 分 布 、 分 配 TP 地 址 及 其 他 配置 参数 。 
超级 作用 域 :用 于 支持 同一 物理 网 络 上 多 个 逻辑 IP 地 址 子 网 段 ， 包 含 作 用 域 的 列表 ， 并 对 子 作 用 域 统一 管理 。 
排除 范围 :将 某 些 IP 地 址 在 作用 域 中 排除 ， 确 保 这 些 IP 地 址 不 会 被 提供 给 DHCP 客户 机 。 
地 址 池 : 在 定义 DHCP 服务 的 作用 域 并 应 用 排除 范围 后 ， 剩 余 用 来 动态 分 配给 DHCP 客户 机 的 IP 地 址 范围 。 
租约 : 即 DHCP 客户 机 能 够 使 用 动态 分 配 到 的 TP. 地 址 的 时 间 。 
预约 :保证 局 域 子 网 中 特定 设备 总 是 获取 到 相同 的 IP 地 址 。 


13.2 安装 dhcpd 服务 程序 
dhcpd 服务 程序 用 于 提供 DHCP 协议 服务 ， 确 认 镜 像 挂 载 且 yum 仓库 配置 完毕 后 即 可 开始 安装 
[root@linuxprobe ~|# yum install dhcp 
> Package dhcp.x86 64 12:4.2.5-27.el7 will be installed 
——— 2 S de AREE soeurs 
Complete! 


dhcpd 服务 程序 与 配置 文件 : 
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主 配置 文件 /etc/dhcp/dhcpd.conf 
执行 程序 /usr/sbin/dhcpd 
/usr/sbin/dhcrelay 


先 来 分 析 下 dhcp 程序 的 主 配 置 文件 吧 : 
[rootelinuxprobe ~|# cat /etc/dhcp/dhcpd.conf 
* DHCP Server Configuration file. 
* see /usr/share/doc/dhcp*/dhcpd.conf.example 
# see dhcpd.conf(5) man page 
是 的 ， 你 没有 看 错 ! dhcpd 服务 程序 的 配置 文件 默认 只 有 注释 语句 ， 需 要 参考 下 模板 文件 : 
[rootelinuxprobe ~|# cat /usr/share/doc/dhcp*/dhcpd.conf.example 
一 个 标准 的 DHCP 配置 文件 应 该 包括 全 局 配置 参数 、 子 圆 网 段 声 明 、 地 址 配置 选项 以 及 地 址 配置 参数 : 
[root@linuxprobe ~]# vim /etc/dhcp/dhcpd.conf 


ddns-update-style interim; 全 局 配置 参数 


ignore client-updates; 


subnet 192.168.10.0 netmask 255.255.255.0 ( 子 网 网 段 声明 


option routers 192.168.10.1; 


地 址 配置 选项 


option subnet-mask 255.255.255.0; 


default-lease-time 21600; 


max-lease-time 43200; 地 址 配置 参数 











全 局 配置 参数 用 于 定义 整个 配置 文件 的 全 局 参数 ， 而 子 网 网 段 声明 用 于 配置 整个 子 网 段 的 地 址 属性 ， 具 体 参 数 有 : 


参数 


ddns-update-style 类 型 


allow/ignore client-updates 
default-lease-time 21600 
max-lease-time 43200 

option domain-name-servers 8.8.8.8 
option domain-name "domain.org" 
range 

option subnet-mask 

option routers 


broadcase-address 广播 地 址 


作用 


定义 DNS 服务 动态 更 新 的 类 型 ， 类 型 包括 : 
none (不 支持 动态 更 新 ), interim (互动 更 新 模式 ) 与 ad-hoc( 特 殊 更 新 模式 )。 


允许 /忽略 客户 机 更 新 DNS 记录 。 
默认 超时 时 间 。 

最 大 超时 时 间 。 

定义 DNS 服务 器 地 址 。 

定义 DNS 域名 。 

定义 用 于 分 配 的 IP 地 址 池 。 
定义 客户 机 的 子 网 掩 码 。 

定义 客户 机 的 网 关 地 址 。 


定义 客户 机 的 广播 地 址 。 


ntp-server IP 地 址 

nis-servers IP 地 址 

hardware 硬件 类 型 MAC 地 址 
server-name 主机 名 
fixed-address IP 地 址 


time-offset 偏 移 差 


13.3 自动 管理 IP 地 址 


人 
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定义 客户 机 的 网 络 时 间 服 务 器 (NTP)。 


定义 客户 机 的 NIS 域 服 务 器 的 地 址 。 


指定 网 卡 接口 的 类 型 与 MAC 地 址 。 


通知 DHCP 客户 机 服务 器 的 主机 名 。 


将 茶 个 国定 IP 地 址 分 配给 指定 主机 。 


指定 客户 机 与 格林 尼 治 时 间 的 偏 移 差 。 
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DHCP 协议 的 初衷 是 更 高 效 的 集中 管理 管理 局 域 网 内 IP 地 址 资源 ， 那 么 符合 让 DHCP 服务 更 准确 的 完成 工作 呢 ? 
为 了 让 实验 更 有 挑战 性 ， 我 们 来 模拟 一 个 真实 环境 吧 : 


运 维 部 : 


明日 约 有 50 名 外 部 学 员 自 带 笔 记 本 设备 来 我 司 培 训 学 习 ， 请 保证 学 员 能 够 用 DHCP 获取 IP 地 址 并 正常 上 网 。 


机 房 网 段 及 参数 如 下 : 
参数 名 称 


默认 租约 时 间 


最 大 租约 时 间 


IP 地 址 学 围 


子 网 掩 码 


网 关 地 址 


DNS 服务 地 址 


搜索 域 


值 


21600 £^ 


43200 £^ 


192.168.10.50-192.168.10.150 


2399.2995.2990 


192.168.10.1 


192.168 10.1 


linuxprobe.com 


看 完 配 置 要 求 后 ， 首 先 请 准备 实验 环境 : 


主机 类 型 


DHCP 服务 端 


DHCP 客户 机 


操作 系统 


zr RHEL7 操作 系统 


zr RHEL7 操作 系统 


IP 地 址 


192.168.10.1 


DHCP 自动 获取 地 址 


第 203 页 
(Linux 就 该 这 么 学 》 HTTP://www.linuxprobe.com 


配置 虚拟 机 网 络 类 型 (两 台 主 机 都 要 配置 成 一 样 的 ) 配置 DHCP 服务 端的 IP 地址 。 
aem 5 人 


硬件 “选项 








root@linuxprobe:~/Desktop 




















—— View Search Terminal Tabs Help 
站 已 连接 (C) : 
pe It J| pasci CO) uxprobe:-/Desktop * | root(Qlinuxprobe:-/Desktop 


局 硬盘 (SC5I1) 20 GB (预先 分 配 ) 
P) € (SATA) Lees F:M&fe 3r CE VRHEL-ser... 网 络 连 接 Edit connection 
































DRENE O 桥接 模式 (B): 直接 连接 物理 网 络 
自动 检测 复制 物理 网 络 连接 状态 (p) Profile name MSIJE 

© NAT 模式 (N): 用 于 共享 主机 的 IP 地 址 Device ORP REH I EC CTS TAAA: 

© 识 主机 模式 (H): 与 主机 共享 的 专用 网 络 

O 自 定义 (U): 特定 虚拟 网 络 [HERNET <Show> 

VMnet0 (自动 桥接 ) - 
© LAN 区 段 (U): v4 CONFIGURATION <Hide> 
3 Addresses «Remove» 
«Add...» 
Gateway eO 


DNS servers «Add...» 
Search domains «Add...» 


Routing (No custom routes) «Edit...» 
] Never use this network for default route 


(] Require IPv4 addressing for this connection 

















[. 移 除 (R) 














配置 DHCP 客户 机 的 网 卡 。 


root@linuxprobe:~/Desktop 





iew Search Terminal Help 


Edit connection 





Profile name SMSe 





Device [Wome 27 :C6:12 (eno16777728) 
:RNET «Shc 
| CONFIGURATION «Automatic» «Shc 
; CONFIGURATION «Automatic» «Shc 


itomatically connect 
railable to all users 


«Cancels 


二 RR RR RR NN E RR RM 
另外 因为 虚拟 机 软件 VmwareWorkstation 默认 开启 了 虚拟 机 DHCP 服务 ， 必 需 关 闭 后 再 进行 DHCP 实验 : 


(B) ritu - viwere Woretaon 
xu [TEE] o exa A wen rl) O Op) ex TE 
Col. X 
















类 型 外 部 连接 
*P A Thu22:10 E root 桥接 模式 自动 杨 按 





当 您 确定 两 全 主机 的 网 卡 和 虚拟 机 都 已 经 配置 妥当， 那么 就 开始 配置 DHCP 服务 程序 吧 : 





VMnet 信息 
[root@linuxprobe ~|# vim /etc/dhcp/dhcpd.conf ie 
// 请 注意 dhcpd 服务 程序 的 配置 文件 中 每 个 参数 均 需 要 以 ;号 结尾 。 Pa 


园 将 主机 虚拟 适 本 器 连接 到 此 网 络 (W) 


// 请 将 下 面 表 格 中 的 参数 逐 行 写 入 到 dhcpd.conf 文件 中 。 pr 





子 网 IP(): 192 .168 ,75 . 0 FPM: 255.255.255. 0 


| muaa) (we J[ m Jj 





SE 


数 作用 


ddns-update-style none; 设置 DHCP 服务 不 自动 动态 更 新 。 


(Linux 3L TAX A 
ignore client-updates; 
subnet 192.168.10.0 netmask 255.255.255.0 1 
range 192.168.10.50 192.168.10.150; 
option subnet-mask 255.255.255.0; 
option routers 192.168.10.1; 
option domain-name "linuxprobe.com"; 


option domain-name-servers 192.168.10.1; 
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忽略 客户 机 更 新 DNS 记录 。 


作用 域 为 192.168.10.0/24 网 段 。 


IP 地 址 池 为 192.168.10.50-150 ( 约 100 个 JP HA). 


定义 客 己 机 默认 的 子 网 掩 码 。 


定义 客户 机 的 网 关 地 址 。 


定义 默认 的 搜索 域 。 


定义 客户 机 的 DNS 地 址 。 


default-lease-time 21600; 定义 默认 租约 时 间 。 


定义 最 大 预约 时 间 。 


max-lease-time 43200; 


j 此 为 结束 符 


重启 dhcpd 服务 程序 : 

[root@linuxprobe ~|# Systemctl start dhcpd 

添加 到 开机 启动 项 中 : 

[root@linuxprobe ~|# systemctl enable dhcpd 

In -s /usr/lib/systemd/system/dhcpd.service' /etc/systemd/system/multi-user.target.wants/dhcpd.service 
因为 在 红 帽 RHCSA、RHCE 或 RHCA 考试 后 都 要 重 局 您 的 实验 机 再 执行 判 分 脚本 。 

所 以 请 读者 在 日 常 工作 中 也 要 记得 将 需要 的 服务 加 入 到 开机 启动 项 中 :”systemctl enable dhcpd“。 


此 时 在 DHCP 客户 机 上 重启 网 卡 设备 ， 即 可 自动 获取 到 IP 地 址 : 


root@linuxprobe:~ 


File Edit View Search Terminal Help 
[rootalinuxprobe ~]# systemctl restart network 
[root et inu xprobe ~]# ife onfig 

agsz 3 St; be ioten NG „MUL TICAST> mtu 1500 
| EC Lr e Q? 





stmask 255 TE b oadcast 192.168.10.255 
C 291 e27 :c612 raid en 64 scopeid 0x20«links 
ether 00:0c:29: 6:12 txqueuelen 1000 (Ethernet) 
RX packets 340 j^ 34349 (33.5 KiB) 
RX errors © dropped © overruns O frame 0 
TX packets 193 bytes 20504 (20.0 KiB) 
TX errors © dropped © overruns © carrier O collisions 0 
lo: fLags-73«UP , LOOP BACK,RUNNING» mtu c - 
inet 127.0.0.1 netmask 255.0.0. 
inet6 ::1 prefixlen 12 B. SC in Ox10«host» 
loop tx queuglen 9 (Local eges k 
RX packets 92 bytes 9398 (9.1 KiB) 
RX errors © dropped O anrus O0 frame 0 
TX packets 92 bytes 9398 .l KiB) 
TX errors © dropped O overruns © carrier © collisions 0 


13.4 分 配 固定 IP 地 址 
DHCP 协议 的 术语 预约 指 的 就 是 保证 局 域 子 网 中 特定 设备 总 是 获取 到 相同 的 IP 地 址 ， 换 名 话说 dhcpd 服务 会 将 某 个 
IP 地 址 私 藏 下 来 , 只 有 匹配 到 特定 主机 了 才 会 拿 出 来 分 配 , 而 要 做 IP 地 址 与 主机 的 绑 定 ,需要 使 用 下 面 的 参数 格式 : 
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host 主机 名 称 { 


hardware ethernet 该 主机 的 MAC 地 址 : 
fixed-address 欲 指定 的 IP 地 址 : 


查看 到 要 绑 定 IP 地 址 的 主机 mac 地 址 (00:0c:29:27:c6:12): 





root@linuxprobe 
View val eip 
«pr metl rest at 
jxpr Fig 
B8: ags ,BROAL T INN ING, MI CAST 15 
et 2.1€ ( né 2 5. ( bre 19 
etí Bg ) f :f l pre xlen 64 f d 0 
her ele 900 Et 
packets j es 3.5 K 
€ rs £ r d 6 is 60 ram 
X pa ts 3 et ).0 
er rs r 1 0 3 rie 
i RACK NNI cc 
7.0.0.1 mas 3.0 
l refi n 1 eid O 
F xqueuel er L Loopback 
et 2t! 1 KiB) 
rs drop is 6 
ets 92 t KiB) 
i ) 


在 DHCP 配置 文件 中 添加 绑 定 语句 : 

ddns-update-style none; 
ignore client-updates; 
subnet 192.168.10.0 netmask 255.255.255.0 { 
range 192.168.10.50 192.168.10.150; 
option subnet-mask 255.255.255.0; 
option routers 192.168.10.1; 
option domain-name "linuxprobe.com"; 
option domain-name-servers 192.168.10.1; 
default-lease-time 21600; 
max-lease-time 43200; 
host linuxprobe { 
hardware ethernet 00:0c:29:27:c6:12; 
fixed-address 192.168.10.88; 
} 
} 
确定 配置 参数 填写 正确 后 重启 dhcpd 服务 : 
[root@linuxprobe ~|# systemctl start dhcpd 

DHCP 客户 机 重新 加 载 网 卡 设备 后 查看 到 顺利 绑 定 到 了 指定 的 卫 地址， 不 错 哦 ~ 


root(Dlinuxprobe:*/Desktop 


File Edit View Search Terminal Help 





u et 

S aT 

, dau 1 u 156 
inet 32 . 1€ asi jcast 192.1 
inet6 Te80 ) !:c612 paid © li 
ether 00:0 1 «queue ) 
RX packets 170 554 (20. 
RX errors í r overruns 
TX packets 27 tes 3311 32. 
TX errors ( dr erruns 

lags- UP ,LOOPBAC ING» u 6553€ 

ir 27.0.0.1 k 255.0.0. 
ir 1 pref | scopeid Ox10 t 
Le f txq eler al Loopt 

X packe 60 t 452 (14.1 KiB 

ror dro verruns fra 
packe 69 t 15 4.1 KiB 

T rror dro n ar 


13.5 DHCP 中 继 代 理 
DHCP 中 继 代 理 ( 即 DHCP Relay Agenb 用 于 转发 来 自 于 另 一 个 没有 DHCP 服务 性 子 网 段 中 客户 端的 DHCP 请 求 ， 
即 当 一 人 台 DHCP 客户 端 发 起 请 求 后 ， 此 时 DHCP 中 继 代理 就 会 将 已 经 预先 定义 好 的 DHCP 服务 器 的 信息 转发 给 客户 
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DHO PERAN 
192. 168. 20. 
1 . 30. 


72 
2. 168. 0/24 
92. 168 0/24 











192. 168. 10. 0/24 
DHCP 服 务 器 


192. 168. 30. 0/24 


JURE P gu5 DHCP 服务 璐 处 在 同一 个 子 网 段 ， 则 车 尸 机 自然 能 够 顺利 动态 获取 到 IP d, [UE X P 305 DHCP 服 
务 器 处 在 不 同 的 子 网 段 或 物理 网 段 ， 则 需要 DHCP Relay Agent 来 处 理 和 转发 DHCP 协议 信息 ， 换 名 话说 ，DHCP 中 
继 代 理 可 以 让 每 个 物理 子 网 不 再 必需 配 有 一 人 台 DHCP 服务 器 ， 而 是 将 请 求 转发 给 指定 的 DHCP 服务 器 。 
在 BOOTP 模式 中 执行 dhcrelay 服务 (DHCPv4): 
第 1 步 :复制 服务 程序 
[root@linuxprobe ~|# cp /lib/systemd/system/dhcrelay.service /etc/systemd/system/ 
第 2 步 :编辑 服务 程序 
[root@linuxprobe ~|# vim /etc/systemd/system/dhcrelay.service 
在 ExecStart 参数 中 添加 指定 DHCP 服务 器 地 址 
ExecStart-/usr/sbin/dhcrelay -d --no-pid 192.168.10.1 
如 果 希 望 仅 某 个 网 卡 专门 用 于 监听 DHCP 请 求 ， 则 在 ExecStart 选项 中 追加 -i 人 参数， 默认 全 部 网 卡 均 监 听 。 
ExecStart-/usr/sbin/dhcrelay -d --no-pid 192.168.10.1 -i eno16777736 
第 3 步 :启动 dhcrelay 中 继 服 务 程序 。 
[root@linuxprobe ~|# systemctl --system daemon-reload 
[root@linuxprobe ~|# Systemctl restart dhcrelay 
[root@linuxprobe ~|# Systemctl enable dhcrelay 
坦白 讲 , 一 般 DHCP 中 继 功能 在 日 常 工作 使 用 较 少 , 或 由 路 由 器 负责 DHCP 中 继 功能 , 极 少 用 红 帽 Linux 系统 搭建 。 


本 章 结 束 ， 您 可 以 在 此 写 下 笔记 : 
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第 14 章 使 用 Postfix 与 Dovecot 收发 电子 邮件 。 
章节 概述 : 
本 章节 从 电子 邮局 系统 的 组 成 角色 开始 讲 起 ， 了 解 MUA、MTA 与 MDA 的 作用 ， 熟 悉 熟 悉 SMTP, POP3 与 IMAP4 邮局 协议 。 
学 习 postfix 与 dovecot 服务 程序 的 使 用 方法 并 逐条 讲解 配置 参数 ， 完 整 演示 了 部 署 基础 电子 邮局 系统 以 及 设置 用 户 别 名 邮箱 的 方法 。 
14.1 电子 邮局 系统 
1971 年 由 美国 国防 部 资助 的 的 ARPANET 科研 项 目 遇 到 了 严峻 问题 一 一 参 于 科研 项 目的 科学 家 在 不 同 的 地 方 工 作 ， 
不 能 及 时 的 分 享 各 自 的 研究 成 果 ， 迫 切 的 需要 一 种 能 够 借助 于 网 络 且 建立 在 计算 机 之 间 的 传输 数据 的 方法 。 当时 麻 
省 理工 学 院 Ray Tomlinson 博士 也 是 ARPANET 项 目的 科研 成 员 ， 当 年 秋天 他 使 用 软件 SNDMSG 向 自己 为 一 合 电脑 
发 出 了 人 类 历史 上 第 一 封 Email 邮件 。 








Ray Tomlinson 博士 决定 选择 ”@” 符 号 作为 用 户 名 与 主机 地 址 的 间隔 符 。 
邮件 应 用 协议 包括 : 
简单 邮件 传输 协议 (SMTP)， 用 来 发 送 或 中 转发 出 的 电子 邮件 ， 占 用 tcp 25 端口 。 
第 三 版 邮局 协议 (POP3)， 用 于 将 服务 器 上 把 邮件 存储 到 本 地 主机 ， 占 用 tcp 110 端口 。 
第 四 版 互联 网 信息 访问 协议 (MAP4)， 用 于 在 本 地 主机 上 访问 邮件 ， 点 用 tcp 143 端口 。 


A SMTP ^ SMTP ^U POP3 或 IMAP4 v" 


A MTA MTA 
发 信人 新 浪 电子 邮局 谷歌 电子 邮局 收 信人 








电子 邮件 系统 (E-mail， 即 Electronic mail system) 由 三 部 分 组 成 : 

用 户 代 理 MUA(Mail User Agent): 用 于 收发 邮件 。 

邮件 传输 代理 MTA(Mail Transfer Agent): 将 来 自 于 MUA 的 邮件 转发 给 指定 用 户 。 

邮件 投递 代理 MDA(Mail Delivery Agent): 将 来 自 于 MTA 的 邮件 保存 到 本 机 的 收 件 箱 中 。 
电子 邮件 系统 与 大 多 数 的 网 络 应 用 协议 有 本 质 的 不 同 ， 例 如 前 面 讲 过 的 文本 传输 协议 (ETP)，FTP 服务 程序 就 像 拨打 
电话 一 样 ， 需 要 对 方 当 前 也 保持 在 线 ， 和 否则 会 报错 连接 超时 。 但 电子 邮件 的 发 送 者 则 并 不 需要 等 待 投递 工作 完成 ， 因 
为 如 果 对 方 服务 器 邱 机 了 ， 则 会 将 要 发 送 的 内 容 自 动 的 暂时 保存 到 本 地 ， 检 测 到 对 方 服务 器 恢复 后 再 次 投递 。 另 外 如 
果 您 想 搭建 企业 级 的 电子 邮件 系统 ， 请 考虑 下 面 几 反 : 
反 垃圾 与 反 病 毒 模 块 : 咀 止 垃圾 邮件 或 病毒 邮件 对 企业 邮箱 的 干扰 。 
邮件 加 蜜 :保证 邮件 内 容 不 被 蜡 探 、 自 改 。 
邮件 监控 审核 :监控 全 体 职 员 邮 件 中 有 无 敏感 词 ， 透 露 企业 资料 等 。 
稳定 性 :有 较 好 的 防 DDOS 攻击 的 能 力 ， 保 证 系统 在 线 率 等 。 





第 208 页 
(Linux 就 该 这 么 学 》 HTTP://www.linuxprobe.com 
14.2 部 署 基础 电子 邮局 系统 
单独 的 使 用 Postfix 服务 程序 并 不 能 让 用 户 完成 收发 邮件 的 操作 ， 因 为 一 个 基础 的 电子 邮局 系统 至 少 需要 有 SMTP 服 
4-3&. POP3/IMAP 服务 器 ， 为 了 能 够 部 署 一 个 基础 的 电子 邮局 系统 ， 我 们 需要 使 用 到 下 面 的 软件 : 
Postfix 提 供 邮件 发 送 服务 ， 即 SMTP. 
Dovecot: 提 供 邮件 收取 服务 ， 即 POP3。 
OutLook Express: 客 户 端 收发 邮件 的 工具 。 


RAEE hF Jn ^ RAES MEFE 


存储 本 域 地 件 一 一 一 
POSTEN Mailbox 











收 信 认 证 





DOVECOT 





Postfix( 发 送 邮件 )+Dovectot( 接 收 邮件 )+OutLook( 客 户 端 工具 ) 
配置 本 地 主机 名 
修改 本 地 主机 名 的 配置 文件 : 
[rootelinuxprobe ~| # vim /etc/hostname 
mail.linuxprobe.com 
[root&mail-] # hostname 
mail.linuxprobe.com 
若 要 为 用 户 提供 linuxprobe 域 的 电子 邮局 系统 ， 则 需 先 在 DNS RIEP A 记录 和 MX 记录 : 
€ IN MX 10 maillinuxprobe.com. 
mail IN A 192.168.10.10 
这 样 配置 解析 记录 后 ， 主 机 名 即 为 maillinuxprobe.com, 而 邮件 域 为 aaa a com. 


root()linuxprobe:"/Desktop 


Addresses EDIE «Remove» 
«Remove» 


«Add... 
Search domains «Add...» 


Routing (No custom routes) «Edit...» 
[ ] Never use this network for default route 


1 
I 
= ETHERNET <Show> 
IPv4 CONFIGURATION <Manual> <Hide> 
l 168.10.1 
[X] Require IPv4 addressing for this connection 
l 





(请 读者 自行 使 用 nmtui 工具 将 网 卡 的 DNS 地 址 配置 妥当 即 可 ) 

14.2.1 配置 Postfix 服务 程序 

Postfix 是 一 款 由 IBM 出 资 研 发 的 免费 开源 的 邮局 服务 程序 ， 兼容 于 Sendmail 服务 程序 ， 即 Sendmail 用 户 可 以 很 方 
便 的 迁移 到 Postfix 程序 ， 且 收发 件 性 能 远 超过 Sendmail， 能 够 自动 增加 减少 进程 的 数量 ， 保 证 邮局 系统 的 高 性 能 与 
稳定 性 ， 另 外 Postfix 是 由 诸多 的 小 模块 组 成 ， 每 个 小 模块 完成 特定 的 功能 ， 使 得 管理 员 可 以 灵活 的 组 合 这 些 模块 。 

2rd RHEL7 系统 中 默认 已 安装 postfix 邮局 服务 程序 : 

[root@linuxprobe ~|#yum install postfix 


Nothing to do 
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Postfix 邮局 服务 程序 的 配置 文件 如 下 : 


pe 作用 

/usr/sbin/postfix 主 服 务 程序 
/etc/postfix/master.cf master 主 程序 的 配置 文件 。 
/etc/postfix/main.cf postfix 服务 的 配置 文件 。 
/var/log/maillog 记录 邮件 传递 过 程 的 日 志 。 


第 1 步 :查看 Postfix 服务 程序 主 配置 文件 : 
[root@mail~|# cat /etc/postfix/main.cf 


配置 文件 足 足 有 679 行 ! 但 不 用 担心 ， 绝 大 部 分 都 是 注释 信息 ， 我 们 只 学 习 这 些 参数 即 可 : 


参数 作用 

myhostname 邮局 系统 的 主机 名 。 
mydomain 邮局 系统 的 域名 。 

myorigin 从 本 机 寄 出 邮件 的 域名 名 称 。 
inet_interfaces 监听 的 网 卡 接口 。 
mydestination 可 接收 邮件 的 主机 名 或 域名 。 
mynetworks 设置 可 转发 那些 主机 的 邮件 。 
relay_domains 设置 可 转发 那些 网 域 的 邮件 


编辑 Postfix 服务 程序 的 主 配置 文件 〈 修 改 5 处 参数 ， 兄 外 需要 将 参数 前 面 的 井 号 G) 去 挥 才 可 生效 ) 
[root@mail~| # vim /etc/postfix/main.cf 

// 修 改 第 76 行 的 邮局 主机 名 。 

myhostname = mail.linuxprobe.com 

// 修 改 第 83 行 的 邮局 域名 。 

mydomain = linuxprobe.com 

// 修 改 第 99 行 的 寄 出 邮件 域名 ，$mydomain 的 值 已 在 上 面 定 义 。 
myorigin = $mydomain 

// 修 改 第 116 行 的 监听 网 卡 。 

inet interfaces = all 

// 修 改 第 164 行 的 可 接收 邮件 的 主机 名 和 域名 。 

mydestination = $myhostname, $mydomain 

第 2 步 :创建 邮局 帐号 : 

[root@mail~| # useradd boss 

[root@mail~] # echo "linuxprobe" | passwd --stdin boss 


Changing password for user boss. passwd: all authentication tokens updated successfully. 
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第 3 步 :启动 Postfix 服务 程序 : 
[Iroot@mail~| # Systemctl restart postfix 
[rootemail-] # Systemctl enable postfix 
In -s /usr/lib/systemd/system/postfix.service' /etc/systemd/system/multi-user.target.wants/postfix.service 
因为 在 红 帽 RHCSA、RHCE 或 RHCA 考试 后 都 要 重启 您 的 实验 机 再 执行 判 分 脚本 。 
所 以 请 读者 在 日 常 工作 中 也 要 记得 将 需要 的 服务 加 入 到 开机 启动 项 中 :”systemctl enable postfix “ 14.2.2 配置 
Dovecot 服务 程序 
第 1 步 :安装 Dovecot 服务 程序 : 
[root@mail~| # yum install dovecot -y 


Loaded plugins: langpacks, product-id, subscription-manager 


Installing: dovecot x86. 64 1:2.2.10-4.el7 rhel7 3.2 M 
Installing for dependencies: clucene-core x86. 64 2.3.3.4-11.el7 rhel7 528 k 


Complete! 
第 2 步 :修改 Dovecot 程序 主 配 置 文件 : 
[root@mail~| # vim /etc/dovecot/dovecot.conf 
// 修 改 第 24 行 的 支持 邮局 协议 。 
protocols = imap pop3 lmtp 
// 然 后 追加 允许 明文 认证 (25 行 )。 
disable_plaintext_auth = no 
// 修 改 第 AS 行 的 允许 登陆 网 段 地 址 ， 全 部 允许 即 为 (0.0.0.0/0)。 
login trusted networks = 192.168.10.0/24 
第 3 步 :配置 邮件 的 格式 与 存储 路 径 。< 
编辑 dovecot 的 配置 文件 (将 第 25 行 的 注释 符 (# 号 ) 去 掉 ): 
[root@mail~| # vim /etc/dovecot/conf.d/ 10-mail.conf 
mail location = mbox:~/mail:INBOX=/var/mail/%u 
第 4 步 :创建 邮件 的 存储 目录 : 
[root@mail~] # su - boss 
Last login: Sat Aug 15 16:15:58 CST 2015 on pts/1 
[bossemail -]$ mkdir -p mail/.imap/INBOX 
第 5 步 :启动 Dovecot 服务 程序 : 
[root@mail~| # systemctl restart dovecot 
[rootemail-] # systemctl enable dovecot 
In -s /usr/lib/systemd/system/dovecot.service /etc/systemd/system/multi-user.target.wants/dovecot.service' 
14.2.3 用 户 使 用 邮局 系统 
您 可 以 在 《软件 资源 库 》 下 载 到 Windows7 系统 以 及 OutLook2007 邮件 管理 工具 , 系统 网 卡 请 按 要 求 配置 IP 地址: 


主机 名 称 操作 系统 IP 地 址 
邮局 服务 颖 红 帽 RHEL7 操作 系统 192.168.10.10 
DNS 服务 器 红 帆 RHEL7 操作 系统 192.168.10.20 


用 户 端 主机 微软 Windows7 系统 
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在 outlook 中 登陆 boss 用 户 后 尝试 给 rootelinuxprobe.com 发 送 邮件 。 
第 1 步 : 开启 OutLook 程序 。 





Outlook 2007 启动 
欢迎 使 用 Outlook 2007 启动 向 导 ， 本 向 导 将 指导 您 完成 Outlook 2007 的 配置 过 程 。 





ES 


第 2 步 : 选择 开始 配置 电子 邮件 帐户 。 
emm 


电子 邮件 帐户 





您 可 以 西 置 Outlook Lj Interne x Microsoft Exchange 
T Ne TM ETENEE 





第 3 步 : 选择 默认 的 邮局 服务 器 类 型 。 


选择 电子 邮件 服务 





© Microsoft Exchange. POP3、 IMAP 或 HTTP (M) 
连接 到 Internet MARRE CI5P) 提 世 的 电子 邮件 帐户 或 您 所 在 组 织 的 
Microsoft Exchange o 

(o Bh (0) 
连接 以 下 服务 器 类 型 。 











您 的 姓名 OD: [boss 
示例 ; Barbara Sankovic 


电子 邮件 地 址 OO : bossalimazcprobe, con 
示例 : barbaraücontoso. con 








+r): Spoken 
重新 键入 密码 CT) :+++kesHHtk — 
键入 您 的 Internet. R83512 H SHEER YES 








FAMERS ANE WES SA 00 
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第 5 步 : 等 待 连接 邮局 


联机 搜索 您 的 服务 器 设置 . - 


正在 配置 


正在 配置 电子 邮件 服务 器 设置 。 这 可 能 需要 几 分 钟 : 
JO Bub 
bo 搜索 bossülinuxprobe. com 服务 器 设置 
登录 到 服务 器 








EES 


第 6 步 : 选择 非 加 密 的 链接 方式 。 


联机 搜索 您 的 服务 器 设置 - - 





正在 配置 


正在 配置 电子 邮件 服务 器 设置 。 这 可 能 需要 几 分 钟 : 
JO ”建立 网 络 连 接 
> ”搜索 bossülinuxprobe. con 服务 器 设置 GEME) 
登录 到 服务 器 ( 非 加 密 ) 


Microsoft Office Outlook 测试 消息 

Microsoft Office Outlook [boss@linuxprobe || 3 
asmia: 无 i 
BFA boss OO A: boss 


这 是 在 测试 您 的 帐户 设置 时 ，)icrosoft [^ 
Office Outlook 自动 发 送 的 电子 邮件 。 





BEES) 


gam) mS CY 


第 825: 填写 收 件 人 与 邮件 内 容 后 发 送 。 


zm 























当 您 收 到 这 封 邮 件 时 ， 证 明 我 的 邮局 系统 实验 已 经 成 功 ! " 
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DASS 
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登陆 到 邮局 服务 器 (192.168.10.10) 后 查看 root 用 户 的 邮件 : 


[root@mail~| # mail 

Heirloom Mail version 12.5 7/5/10.Type ? for help. 
"/var/mail/root': 3 messages 3 unread > 

U 1 user?localhost.com Fri Jul 10 09:58 1631/123113 "[abrt] full crash r" 
U 2 Anacron Sat Aug 15 13:33 18/624 "Anacron job 'cron.dai' 
U 3 boss Sat Aug 15 19:02 118/3604 "Hello~" 

&> 3 

Message 3: 

From bosselinuxprobe.com Sat Aug 15 19:02:06 2015 
Return-Path: 

X-Original-To: rootelinuxprobe.com 

Delivered-To: rootelinuxprobe.com 

From: "boss" 

To: 

Subject: Hello~ 

Date: Sat, 15 Aug 2015 19:02:06 +0800 

Content-Type: text/plain; charset="gb2312" 

当 您 收 到 这 封 邮件 时 ， 证 明 我 的 邮局 系统 实验 已 经 成 功 ! 

> quit 


Held 3 messages in /var/mail/root 


14.3 设置 用 户 别 名 邮箱 


我 们 刚刚 顺利 的 向 root 用 户 发 送 了 邮件 ， 再 来 试 试 向 bin 用 户 (系统 默认 创建 ) 的 用 户 发 送 一 封 邮 件 吧 : 


ANHI Ua y )s 你 好 ,用户 Bin。 - 邮件 (HTML) [= | © js 
| 邮件 | 插入 选项。 设置 文本 格式 e 


Um x 宋体 (中 文正 - | 五 号 -|A alli Ell) 38) eb 二 v a TA 












SEY - Adisa, ? "S 
i € E i [=] [z CET 

|"* y nrg(wA-Jmx mauu 55555 p t5 Fi ps 
| ER 普通 文本 5 姓名 添加 选项 n 校对 

| 收 件 人 (D).… binaeliruxprobe. com 

EX ; 

BEO) RŽ (C)... 

主题 (U): 你 好 ， 用户 Bin。 





| » n 


这 是 一 封 发 给 用 户 Bin 的 文件 。* 














尝试 切换 到 bin 用 户 (提示 此 帐户 当前 不 可 用 ): 

[root@mail ~|# su bin 

This account is currently not available. 

查看 root 用 户 的 邮箱 : 

[root@mail ~|# mail 

Heirloom Mail version 12.5 7/5/10. 

Type ? for help. 

"/var/mail/root': 4 messages 4 new > 

U 1 user?localhost.com Fri Jul 10 09:58 1630/123103 "[abrt] full crash r" 
U 2 Anacron Wed Aug 19 17:47 17/619 "Anacron job 'cron.dai" 
U 3 boss Sat Aug 15 19:02 118/3604 "Hello-" U 

4 boss Wed Aug 19 18:49 116/3231 "ff, JR P Bin, " 
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&> 4 

Message 4: 

From bosselinuxprobe.com Wed Aug 19 18:49:05 2015 

Return-Path: «bosselinuxprobe.com» 

X-Original-To: binelinuxprobe.com 

Delivered-To: binelinuxprobe.com 

From: "boss" «bosselinuxprobe.com» 

To: «binelinuxprobe.com» 

Subject: Jf, JH Bin 

Date: Wed, 19 Aug 2015 18:49:05 +0800 

Content-Type: multipart/alternative; boundaryz"—--- NextPart O00 0006. 01DODAAF.B9104E90"* 
X-Mailer: Microsoft Office Outlook 12.0 Thread-Index AdDabKrQzUHVBTgROMaCtUsVtqfL1Q-- Content- 
Language: zh-cn Status: R Content-Type: text/plain; charset-'gb2312" 

这 是 一 封 发 给 用 户 Bin 的 文件 。 

&> exit 

好 奇怪 ! 这 封 明 明 发 送 给 bin 用 户 的 邮件 为 什么 会 被 root 收 到 呢 ? 这 就 是 aliases 别名 机 制 ! 

查看 aliases 别名 机 制 的 配置 文件 : 

[root@mail ~|# cat /etc/aliases 

# 

# Aliases in this file will NOT be expanded in the header from 

# Mail, but WILL be visible over networks or from /bin/mail. 

# 

# >>>>>>>>>> The program "newaliases" must be run after 

# >> NOTE >> this file is updated for any changes to 

# >>>>>>>>>> show through to sendmail. 

# 

# Basic system aliases -- these MUST be present. 

mailer-daemon: postmaster 

postmaster: root 

# General redirections for pseudo accounts. 

这 样 看 完好 像 就 大 致 明白 了 吧 ， 原 来 这 个 文件 定义 了 用 户 名 与 它 的 别名 ， 格 式 为 “别名 用 户 名 ”。 
如 果 我 们 希望 所 有 发 送 给 xxo0@linuxprobe.com 的 邮件 ， 均 保存 到 root@linuxprobe.com 的 邮箱 中 ， 则 这 样 追加 : 


# General redirections for pseudo accounts. 














XXOO: root 
顺利 编辑 /etc/aliases 文件 后 需要 执行 命令 ”newaliases“， 这 样 追加 的 用 户 别名 才能 立即 生效 ， 然 后 尝试 发 送 邮件 。 
| uoo»): 这 是 一 封 发 送 给 xxoo 用 户 的 邮件 。 - 邮件 (HTML) |. | E. jim Sm] 
i 2 宋体 (中 文正 * 五 号 -|a wli - i8 -] [4] 38) es E 

(n r u|*-A-|m m m gie e| o eme à 

E A BUESCAE 5 EE 添加 选项 "|| 校对 
| EAO.. | xxoo8linuxprobe. com 

Si) 
主题 (U): 这 旺 一 封 发 送 给 xxoo 用 户 的 邮件 。 





| » E 


顺利 的 话 会 被 root 用 户 接收 到 。* 
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[root@mail ~|# mail 

Heirloom Mail version 12.5 7/5/10. Type ? for help. 

"/var/mail/root": 5 messages 1 new 4 unread 

U 1 userelocalhost.com Fri Jul 10 09:58 1631/123113 "[abrt] full crash report" 

U 2 Anacron Wed Aug 19 17:47 18/629 "Anacron job 'cron.daily' on mail.linuxprobe.com" 

U 3 boss Wed Aug 19 18:44 114/2975 "hello" 

4 boss Wed Aug 19 18:49 117/3242 "你 好 ， 用 户 Bin, " 

>N 5 boss Wed Aug 19 19:18 115/3254 "这 是 一 封 发 送 给 xxoo 用 户 的 邮件 。" 

而 如 果 想 取消 别名 的 话 ， 只 需 编 辑 掉 aliases 文件 中 的 用 户 别名 后 执行 newaliases 命令 即 可 ， 很 简单 吧 ~ 


本 章 结 束 ， 您 可 以 在 此 写 下 笔记 : 
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第 15 X 使 用 Squid 部 署 代理 缓存 服务 。 
章 市 概述 : 
本 章节 从 代理 缓存 服务 的 工作 原理 开始 讲 起 ， 让 读者 能 够 清晰 理解 正 向 代理 (普通 模 式 、 透 明 模 式 ) 与 反 向 代理 的 作用 。 
正确 的 使 用 Squid 服务 程序 部 署 代 理 缓 存 服务 可 以 有 效 提升 访问 静态 资源 的 效率 ， 降 低 原 服务 器 的 负载 。 
不 仅 如 此 ， 还 为 读者 们 添加 了 对 指定 IP 地 址 、 网 页 关键 词 、 网 址 与 文件 后 缀 的 ACL 访问 限制 功能 的 实验 ， 真 的 很 实用 哦 ~ 
15.1 代理 缓存 服务 
Squid 服务 程序 是 一 款 在 类 Unix 系统 中 最 为 流行 的 高 性 能 代理 服务 软件 ， 通 常会 被 当 作 网 站 的 前 置 缓 存 服 务 ， 用 于 替代 
用 户 向 网 站 服务 器 请 求 页 面 数据 并 进行 缓存 ， 通 从 来 讲 ，Squid 服务 程序 会 接收 用 户 的 请 求 ， 然 后 自动 去 下 载 指定 数据 
(如 网 页 ) 并 存储 在 服务 器 内 ， 当 以 后 的 用 户 再 来 请 求 相同 数据 时 ， 则 直接 将 刚刚 储存 在 服务 器 本 地 的 数据 交 给 用 户 ， 
减少 了 用 户 的 等 待 时间 。 

Squid 服务 程序 配置 起 来 相对 简单 ， 效 率 高 、 支 持 如 HTTP、FTP、SSL 等 多 种 协议 的 数据 缓存 ， 还 支持 基于 ACL 访问 控 
制 列表 和 ARL 访问 权限 列表 功能 的 内 容 过 滤 与 权限 管理 功能 ， 禁 止 用 户 访问 存在 威胁 或 不 适 家 的 网 站 资源 ， 保 证 内 网 安 
全 的 同时 还 整体 的 提高 了 客户 机 的 访问 速度 ， 帮 助 节省 网 络 带 宽 ， 尤 其 适合 安装 在 内 存 大 、 硬 盘 转 速 快 的 服务 器 上 。 
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MME Fl EZ) A 3E REMA e] RAE: 

正 向 代理 让 用 户 可 以 通过 Squid 服务 程序 获取 网 站 页 面 等 数据 ， 具 体 工 作 形式 又 分 为 标准 代理 模式 与 透明 代理 模式 。 
标准 正 向 代理 模式 : 

将 网 站 的 数据 缓存 在 服务 右 本 地 ， 提 高 数据 资源 被 再 次 访问 时 的 效率 ， 但 用 户 必需 在 上 网 时 指定 代理 服务 占 的 IP 地 
址 与 端口 号 ， 否 则 将 不 使 用 Squid 服务 。 
透明 正 向 代理 模式 : 
功能 作用 与 标准 正 向 代理 模式 完全 相同 ， 但 用 户 不 需要 指定 代理 服务 器 的 IP 地 址 与 端口 号 ， 所 以 这 种 代理 服务 对 于 
用 户 来 讲 是 完全 透明 的 。 





OA 


P adati uM ( Internet ) 
(squid 服 务 器 ) N P 






Aq 
| 





反 向 代理 则 是 为 了 降低 网 站 服务 器 负载 而 设计 的 ， 反 向 代理 服务 器 负责 回应 用 户 对 原始 网 站 服务 器 的 静态 页 面 请 
求 ， 即 如 果 反 向 代理 服务 器 中 正巧 有 用 户 要 访问 的 静态 资源 则 直接 将 缓存 的 内 容 发 送 给 用 户 ， 减 少 了 对 原始 服务 恬 
的 部 分 数据 资源 请 求 。 








pp es 
Y (Squid 服 务 器 ) ( Internet ) 











DASS 
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所 以 对 于 正 向 代理 一 般 用 于 企业 的 局 域 网 内 ， 让 员工 通过 Squid 服务 程序 来 代理 上 网 ， 不 但 能 节省 网 络 带宽 资源 还 
能 限制 访问 的 页 面 ， 而 反 向 代理 则 大 多 搭建 在 网 站 架构 中 ， 用 于 缓存 网 站 的 静态 数据 〈 如 图 片 、HITML 静态 网 页 、 


JS、CSS 框架 文件 等 )。 


15.2 配置 Squid 服务 程序 


本 小 节 将 为 大 家 演示 如 何 部 署 Squid 服务 的 正 向 代理 与 反 向 代理 ， 首 先 我 们 需要 再 添加 一 块 网 卡 设备 桥接 模 


A): 
设备 摘要 | “设备 状态 
murs 1.5 GB EXEC) 
LJ 处 理 器 4 yj Szht (O) 
E BERSCSI) 20 GB (38553880) 
*jCD/DVD (SATA) 正在 使 用 文件 F:\ 镜 像 文件 \RHEL-ser... 网 络 连 接 
9 桥接 模式 (B): 直接 信 接 物理 网 络 


Draama 公主 机 模式 





me — 本 复制 物理 网 络 连 接 状态 (p) 


自 定义 (U): 特定 虚拟 网 络 
VMnet0 (自动 桥接 ) 
LAN 区 段 (0): 





NAT 模式 (N): 用 于 共享 主机 的 IP 地 址 
公主 机 模式 (HH): 与 主机 共享 的 专用 了 网络 





[LAN 区 段 (5)... | | 高 级 (V)..， | 








按照 下 面 的 表单 配置 IP 地 址 : 


主机 名 称 操作 系统 
服务 端 2r RHEL7 操作 系统 
f P 3g 微软 Windows7 操作 系统 


测试 是 否 能 够 访问 互联 网 : 

[root@linuxprobe Desktop|* ping www.linuxprobe.com 

PING www.linuxprobe.com (162.159.211.33) 56(84) bytes of data. 
64 bytes from 162.159.211.33: icmp. seq-1 ttl=45 time-166 ms 
64 bytes from 162.159.21 1.33: icmp. seq-2 ttl=45 time-168 ms 
64 bytes from 162.159.211.33: icmp. seq-3 ttl=45 time-167 ms 
64 bytes from 162.159.211.33: icmp. seq-4 ttl=45 time-166 ms 
^ 

--- www linuxprobe.com ping statistics --- 

4 packets transmitted, 4 received, 096 packet loss, time 3006ms 
rtt min/avg/max/mdev = 166.361/167.039/168.109/0.836 ms 
安装 squid 服务 程序 : 

[root@linuxprobe ~|# yum install squid 


Loaded plugins: langpacks, product-id, subscription-manager 


squid x86. 64 1:3.3.8-1 1.el7 rhel7 


Complete! 


IP 地 址 


外 网 卡 :桥接 DHCP 模式 
内 网 卡 :192.168.10.10 


192.168.10.20 


2.6M 


DASS 


先 别 着 急 配置 哦 ! 我 们 先 来 了 解 下 squid 服务 程序 的 主要 文件 吧 : 


主 服务 程序 /usr/sbin/squid 
配置 文件 目录 /etc/squid 
主 配置 文件 /etc/squid/squid.conf 


访问 日 志文 件 


缓存 日 志文 件 /var/log/squid/cache.log 
而 squid 服务 程序 中 常用 的 参数 有 : 
参数 


http_port 3128 

cache_mem 64M 

cache dir ufs /var/spool/squid 2000 16 256 
cache effective user squid 

cache effective group squid 

dns, nameservers IP 地 址 

cache access log /var/log/squid/access.log 
cache log /var/log/squid/cache.log 


visible hostname linuxprobe.com 


局 动 squid 服务 程序 并 加 入 到 开机 启动 项 : 
[root@linuxprobe ~|# systemctl restart squid 


[root&linuxprobe ~|# systemctl enable squid 
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/var/log/squid/access.log 


作用 

监听 的 端口 号 。 

内 存 缓冲 区 的 大 小 。 

硬盘 缓冲 区 的 大 小 。 

设置 缓存 的 有 效用 户 。 

设置 缓存 的 有 效用 户 组 。 

一 般 不 设置 ， 用 服务 器 默认 的 DNS 地 址 。 
访问 日 志文 件 的 保存 路 径 。 

缓存 日 志文 件 的 保存 路 径 。 


设置 Squid 服务 主机 的 名 称 。 


In -s /usr/lib/systemd/system/squid.service /etc/systemd/system/multi-user.target.wants/squid.service 


15.2.1 标准 正 向 代理 


当 Squid 服务 程序 顺利 启动 后 ， 默 认 MIRA 标准 正 向 代理 模式 啦 ， 


在 Windows7 系统 中 打开 浏览 器 后 依次 点 击 : 





MB Internet Explor vr 无 法 归 示 寺 网 页 。 indows Internet Explorer |) mici 
Que e localhost - [4, x m pr 
wUm-* ezr C"? "nm Q 
Æ Internet Explorer 35st 7389207 M-p- iw ~ P ~ 安全 (S) ~ e- 
| d overn 
" CARE EEF EINER 
Ag mim id 
4j WPA) 
" i * ENI 
FERAE) 打开 Windows7 系 统 的 浏览 器 后 依次 点 击 : 








E iOS. 
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e 

在 网 络 选项 中 击 EC -— “局 域 网 设置 ” 
“Internet 选项 T [© mtm]. 

[常规 [me [mA | 内 容 程序 | 高 级 | 
ET grat Internet 和 连接 ， 单 击 “ 设 设置 0 


拨号 和 虚拟 专用 网 络 设 置 


























kon an... 


[添加 VENE)... | 








BP R)... 
RERE. 请 选择 “ 设 设置 (6) 





© 从 不 进行 拨号 连接 C) 
论 网 络 连接 是 否 存在 都 进行 拨号 0) 
始终 挨打 默认 连接 四) 
iR HS X ESRB O) 


局 域 网 LA 设置 - - Q) 


DETERSEEREE. TIERS AA 
W pETUESEeg uie — ( [BR 和 

















填写 Squid 服务 器 的 IP 地 址 与 端口 号 
Internet 选项 |? x dn 
局 域 网 (LAN) 设 置 : 


自动 配置 

自动 配置 会 覆盖 手动 设置 。 要 确保 使 用 手动 设置， 请 禁用 自动 配置 。 
[| 使 用 自动 配置 脚本 6) 

hdi (R) 

代理 服务 器 

司 为 LAN 使 用 代理 服务 器 (这些 设置 不 用 于 拔 号 或 VN 连接 ) QD 


Heh Œ): 192.168.10.10 端口 (TY): 3128 
ec itk ERR E) 



































Mpeg x Tue (FRED 


^| TE 














党 试 访 问 网 站 : 


dB CUnoMRISD) -ORP ERATI EET - Windon Internet Explorer i| 8) mcn 
LX 


Ooa ^ improbo com. [srx UB aos 











党 
HCE mw 
evr 
-Ni rga p - ms 用 
xoz 
= ESR? L- Er] paran 
KC5S7IOBtEOZICUSD Dna. ENMHAICTENE- $70 wTiSco6ireegatr* ae 
> moe en 
mium ww 
XNTMOgISSMATCTTES,'SGgGXR ! E 为 fud toli x Open i-o INRA. BUS 
wHm."mmzmTe MOT. ÜpedRD T énTASueI) GUMeMumN—Ó-«- xecteg zum a 
mus 
x Mri aue a 
ey n m ESSE 
SUE. Tu eus VE CLE Hrs? 
£ = vt ELE fz8Iz Numa ^nUZHEP 
FERASET rT cIIMGTLOH4Lcy.conn -efSest LI E A FESTER, 
S69 Tl ueco DECIR IEU n 
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Squid 服务 程序 默认 会 占用 3128. 3401 5 4827 端口 ， 我 们 也 可 以 将 端口 号 修改 为 其 他 的 哦 ， 编辑 配置 文件 (修改 第 59 1D: 


[rootelinuxprobe ~|# vim /etc/squid/squid.conf 

http port 10000 

使 用 setsebool 命令 来 限制 squild 服务 只 能 使 用 自 定 义 的 端口 号 : 
[root@linuxprobe ~|# setsebool -P squid connect. any O 

查看 当前 SElinux 允许 的 服务 端口 : 

[rootelinuxprobe ~]# X semanage port -| | grep -w -i squid. port t 
squid, port. t tcp 3128, 3401, 4827 
squid, port t udp 3401, 4827 
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添加 SELinux 对 10000 端口 的 允许 策略 : 

[root@linuxprobe ~|# semanage port -a -t squid. port. t -p tcp 10000 

[rootelinuxprobe ~]# semanage port -| | grep -w -i squid port t 

squid, port. t tcp 10000, 31268, 3401, 4827 

squid, port t udp 3401, 4827 

重启 squid 服务 程序 后 即 可 生效 : 

[root&linuxprobe ~|# systemctl restart squid 

15.2.2 透明 正 向 代理 

如 果 要 想 实 现 透 明正 向 代理 ， 则 必需 将 用 己 的 网 关 IP 指向 Squid 服务 器 ， 而 此 后 便 无 需 再 修改 浏览 器 选项 
que zi 














EISE PUER IP iE EU. 
perg J IP B 





O 自动 获得 IP 地 址 0) 
© 使 用 下 面 的 IP 地 址 E): 
IP Hik q): 

子 网 撞 码 U): 

默认 网 天 M): 


自动 获得 DNS 服务 器 地 址 Œ) 
e 使 用 下 面 的 DNS HESSE E) : 
首选 DNS 服务 器 D: l 
备用 DNS RASA: . .114 .114 


加 退出 时 验证 设置 D 




















尝试 访问 网 站 失败 : 





Æ Internet Explorer 无 去 显示 该 网 页 - Windows Internet Explorer IEEE X | 
Wind atl 7 x64 tto linuxprobe.com =| 季 |X | 本 Bing Pr 
$E dg 各 建议 网 站 B anman y 

Kl intenet Explorer 无 法 呈 才 该 网 页 MORE) -- mmm. 安全 (5) 7 IAO €- 





C» Internet Explorer 无 法 显示 该 网 页 








在 命令 提示 符 中 ping TR: 
C:\Users\linuxprobe>ping www.linuxprobe.com 

Ping 请 求 找 不 到 主机 www.linuxprobe.com。 请 检查 该 名 称 ， 然 后 重 试 。 

原来 Squid 服务 程序 是 不 支持 DNS 解析 代理 的 ， 这 个 就 需要 配置 SNAT Ho MUSS SNAT 技术 了 ， 没 关 
再 看 下 防火 墙 的 章节 吧 ，-O 参数 后 面 写 外 网 出 口 的 网 卡 名 称 : 
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系 ， 回 去 


[root@linuxprobe ~|# iptables -t nat -A POSTROUTING -p udp --dport 53 -o eno33554968 -j MASQUERADE 


开启 Ipv4 的 转发 策略 : 
[root@linuxprobe ~|# echo "netipv4.ip forwardz1" >> /etc/sysctl.conf 
[root&linuxprobe ~|# sysctl -p 
net.ipv4.ip_forward = 1 
再 次 尝试 Ping 下 网 站 域名 : 
C:\Users\linuxprobe>ping www.linuxprobe.com 
正在 Ping www.linuxprobe.com [116.31.127.233] 具有 32 字 节 的 数据 : 
116.31.127.233 的 Ping 统计 信息 : 
数据 包 : 已 发 送 = 4， 已 接收 = 0， 丢 失 = 4 (100% 丢失 )， 
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不 错 哦 ~ 现在 DNS 已 经 能 够 正常 工作 啦 ， 来 配置 透明 正 向 代理 吧 ， 编 辑 配 置 文件 : 
[root@linuxprobe ~|# vim /etc/squid/squid.conf 
// 在 第 59 行 后 面 添加 参数 transparent 
http_port 3128 transparent 
判断 配置 文件 是 否 有 错误 (会 有 很 多 输出 值 ): 
[root@linuxprobe ~|# squid -k parse 
重新 启动 squid 服务 程序 : 
[root&linuxprobe ~|# systemctl restart m 
将 用 户 对 80 端口 的 请 求 转发 至 3128 3 
[root&linuxprobe ~|# iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128 
[root&linuxprobe ~|# iptables -t nat -R PREROUTING 1 -i eno3355490668 -p tcp --dport 80 -j REDIRECT --to-port 3128 
快 去 客户 机 尝试 访问 网 站 吧 : 
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E2012 A TETIGT E eRHCE 6. 4 "FRHCE EF 5567 SRL TRHCA, MET E O 
ZIR Vim = Shell Sepi 
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AA- EREA , SERHIBRIGSESSGGEREMEUI EIS ONE , 人 难过 拥 党 5 小 时 车 程 的 无 床 37$ Iptsbles 与 Firewalld 防 火 地 
Wig T BEBESR RS ROSE JUnunk AR , ERFAR RE 5830 , 8/2 8 oa SERENE TIR 所 用 ssh 服务 念 渗 过程 主 1 
x wm quie Stine 
S108 afilvskpdis Senn. 
X3$T2015:858 15 $189 , RHEE (VE ) 一 一 为 了 保证 和 论文 会 的 质 呈 所 以 很 可 能 会 写 不 充 , S119 milSambazeNFSeE3ICTA SEXE 
NR EFIR. MAT. SOSHSURIET SELMA , SIOEN EDS. ARLEN. iom boc ——: 
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15.2.2. 反 向 代理 

反 向 代理 的 作用 是 将 网 站 中 的 静态 资源 本 地 化 ， 也 就 是 将 一 部 分 本 应 该 由 原始 服务 器 处 理 的 请 求 交 给 Squid 缓存 服务 处 理 。 
编辑 Squid 服务 程序 的 配置 文件 ( 正 向 代理 与 反 向 代理 不 能 同时 使 用 ， 请 还 原 您 前 面 修改 过 的 参数 ): 

[root@linuxprobe ~|# vim /etc/squid/squid.conf 

// 第 59 行 ， 修 改 格式 为 : http port Squid 服务 器 地 址 :监听 端口 号 vhost 

http port 192.168.10.10:80 vhost 

//& 60 行 ， 添 加 格式 为 : cache peer 原 网 站 服务 器 地 址 parent 服务 器 端口 号 0 originserver 

cache peer 106.184.1.125 parent 80 O originserver 

然后 使 用 ict ib 





实 收藏 只 | 高 p 建议 网 站 vw g) anane v 
E (nodbRIRA GE) - 必 读 的 Linux 系 统 与 红 辐 .， A- A-2 A- KEp)~ RAs IRO 9- 
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以 为了 能 帮助 读者 们 快速 A 门 Li 系统， 此 刘 我 正 怀 拉 着 一 果皮 责 的 心 ， 调 尽 全 身心 的 斗志 将 书 编写 








预计 年 未 截稿 (初版 ) 一 一 为 了 保证 每 篇 文章 的 质量 所 以 很 可 能 会 写 不 


-— AA S SERIA. TZ ORI. PERRRPGVRSET EERLAR)SS7), STRMA- ERS TUER 


因为 《Linux 就 该 这 么 学 》 的 网 站 框架 使 用 了 动态 资源 ， 所 以 现在 看 起 来 会 有 些 乱 乱 的 。 
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15.3 ACL 访问 控制 
Squid 服务 的 ACL 访问 控制 是 非常 有 用 的 功能 ， 可 以 根据 特定 条 件 来 进行 数据 缓存 或 限制 用 户 的 访问 ，ACL 元 素 的 
定义 语法 为 : 
acl aclname acltype string 
acl aclname acltype "file" 
src 定义 来 源 地 址 ( 即 用 户 的 客户 机 IP 地 址 ) : 
acl aclname src ip-address/netmask 
acl aclname src addr1-addr2/netmask 
dst 定义 目标 地 址 ( 即 用 户 请 求 的 网 站 IP 地址 ): 
acl aclname dst ip-address/netmask 
port 用 于 指定 访问 端口 : 
acl aclname port 80 1024 
acl aclIname port 0-1024 
url regex 用 于 限制 网 址 中 的 关键 词 : 
acl aclname url regex [-i] pattern 
proto 用 于 定义 要 代理 的 协议 : 
acl aclname proto HTTP FTP 
method 用 于 指定 请 求 的 方法 : 
acl aclname method GET POST 
访问 控制 列表 由 多 个 规则 条 目 组 成 的 ， 根 据 指 定 的 条 件 来 允许 或 限制 访问 请 求 ， 匹 配 顺序 会 由 上 至 下 ， 一 旦 匹配 则 立 
即 结束 ， 通 常会 在 控制 列表 的 最 下 面 写 上 “deny all” 或 者 “allow all” 来 避免 安全 隐 忠 。 
仅 允 许 192.168.10.20 的 主机 使 用 本 地 Squid 服务 ， 拒 绝 其 余 主 机 : 
acl client src 192.168.10.20 


http. access allow client 


http access deny all 





E unm 您 所 请 求 的 网 址 ( URL ) 元 法 获取 - Windows Internet Explorer 

OOO- e hitp:/ /www.linuxprobe.com -| Eh 好 | X IF Bing P yv 
de ta |. ezu p) 两 页 快讯 杨 
Q E SMERA (URL) PARR 








网 络 连 接 详 细 信 息 Q): — 
gu r 
连 按 特定 的 nns 后 





Intel(R) PR0/1000 MT Network Co: 
Toren 00-0C-29-02-15-£8 
S DH^P - 


^ zu Un 一 
IPv4 Mi 192, 168. 10. 30 
PE FPE 255-255.255.0 


‘a esl J| 

SELENA URL AREST mAN: his 
访问 被 拒绝 。 是 
feG0: : 1017: 342d: d4bb: 90653534 1 
Access control configuration prevents your re ` LEA: provider 
if you feel this is incorrect. IFv6 默认 网 关 
IPS DWS 服务 党 £ec0:0-0: ££££: :1%1 

ft RS SSBTEIES root. £ec0:0-0: ££££: :2%1 
£ec0:0-0: ££££::391 
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拒绝 客户 机 使 用 代理 服务 器 访问 带 有 关键 词 linux 的 网 站 : 


acl deny keyword url regex -i linux 





http access deny deny. keyword 








(B 洪 疾 您 所 请 求 的 网 址 ( URL ) 无 法 获取 - Windows Internet Explorer lela] x T 
加 中- ^ http://www.linuxprobe.com/ viis x| b Bing P2 ”| 


| dr 5E | b p 建议 网 站 了 p) 网 页 快讯 库 Y 
f iex: 你 所 语录 的 网 址 ( URL) 无 法 获取 i 


* ERROR 因为 包含 关键 词 linux， 所 以 又 被 拒绝 。 


Q 
= 一 ”The requested URL could not be retrieved 








m-BH-c 






d - 页 而 (P) x ESS IAO &- 
| 
























(B 百度 一 下 . 你 M0 道 - Windows Internet Explorer ET 
JQ x https://www.baidu.com/ ~ B ^x [Wss — »W 
ded | d 居 建议 网 站 了 P) ATARE Y 
GEST., FRE — Mi 

















拒绝 客 尸 机 使 用 代理 服务 噩 访问 《Linux 就 该 这 么 学 》 的 网 站 : 
acl deny. url url regex http://www.linuxprobe.com 


http access deny deny url 


E tiis: 您 所 请 求 的 网 址 ( URL ) 无 法 获取 - Windows Internet Explorer [=i®| s Jy 
GO « [® her inuxprobecom -8le|x] so aey 









db bar | ds parany plumes 
fi i: 您 折 请 求 的 网 直 ( URL ) EARM A- D-o ks mpm 安 2G IBO- - 










mm ERROR 


BA Vom The requested URL could not be retrieved 


binjwwwv t oroDeags1E 



















人 vs 生计 

ĝo- Kl htip://bbs linuxprobe.com/forum.php "|A Dr 
wr 收藏 天 | ds el 建议 网 站 p] 网 页 快讯 过 Y 

M Linux 探 志 园 -专注 于 学 习 Linux 技 术 与 红 柱 RHCE A-A- Mr mW». 安全 (> IRO @@- 





Linux 教 程 补偿 计划 
DESEES 
Exe RAZE 
基于 KVM 安 装 Cent0S641111 REUS 


Uinux 的 文件 权限 和 目录 配种 WAASER eo Sch EAS BUS] ... 


Linuxift ArootH PLUS ERES 推广 激活 


Linux 命 令 详解 【自学 笔 沁 , 拿 来 . Linux 系 统 Root 宝 码 玻 解 (RHEL6& - 
Linux idR Roof E GRRRRSIRHEL6& RUDI ulii 2 
@ Internet | FABS: 启用 fà * *100$ v 


EE PUDE LIRE RC AR I XA mp3 与 rar 为 后 级 的 文件 : 
acl badfile urlpath regex -i Xmp3$ Vrar$ 





http access deny badfile 


”站 (inoia) - Sinu KSN UEEPIESERR - Windows Internet Explorer [eje] 8 J 
ĝo- MB http://www.inuxprobe.com -|4| x] b Bing 5p 
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作者 简介 与 著 书 的 过 程 : 
本 书 作者 刘 运 从 事 于 linux 运 维 技 术 行 业 ， 蒋 早 时 周 兴趣 的 驱使 兵 触 到 了 Linux 系 统 并 开始 学 习 。 













EE) ËA) IA) #8H) 
4 uhi: 公所 污 孙 的 网 址 ( URL ) 无 法 区 到 


E ERROR 所 有 以 mp3 与 rar 为 后 缀 的 文件 都 会 被 拒绝 访问 。 
oy 


^ The requested URL could not be retrieved 
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当 尝 | 式 取 回访 URL ES R mk AR: http: //www.linuxprobe.com/music.mp3 = 
包括 使 用 所 选项 的 命令 。 m- 10 - 
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第 16 章 使 用 iSCSI 服务 部 署 网 络 存储 。 
章节 概述 : 
本 章节 将 分 析 SCSI 与 iSCSI 技术 结构 的 不 同 ， 了 解 iCSI 技术 的 优势 、SAN 存储 网 络 技术 结构 以 及 iSCSI HBA 卡 的 作用 。 
完整 演示 部 署 iSCSI target 服务 程序 的 方法 流程 : 创建 RAID 阵列 (5) 后 使 用 targetcli 命令 发 布 到 iSCSI 存储 目录 并 创建 ACL 列表 。 
配置 使 用 iSCSI initiator 服务 程序 发 现 、 连 接 并 使 用 iSCSI 存储 设备 ， 最 后 编辑 fstab 文件 将 存储 设备 设置 为 开机 局 动 。 


16.1 网 络 存储 技术 

传统 的 SCSI 小 型 计算 机 系统 接口 (Small Computer System Interface) 技 术 是 存储 设备 最 基本 的 标准 协议 ， 但 通常 需 
要 设备 互相 靠近 并 用 SCSI 总 线 链 接 ， 因 此 受到 了 物理 环境 的 限制 。 

iSCSI 小 型 计算 机 系统 接口 (HI Internet Small Computer System Interface) 则 是 由 IBM 公司 研究 开发 用 于 实现 在 











IP 网 络 上 运行 SCSI 协议 的 新 存储 技术 ， 即 能 够 让 SCSI 接口 与 以 太 网 技术 相 结合 ， 使 用 iSCSI 协议 基于 以 太 网 传送 
SCSI 命令 与 数据 ， 克 服 了 SCSI 需要 直接 连接 存储 设备 的 局 限 性 ， 使 得 我 们 可 以 跨越 不 同 的 服务 必 共 享 存 储 设 备 ， 并 
可 以 做 到 不 停机 状态 下 扩展 存储 容量 。 
SAN 存储 区 域 网 络 技术 (Storage Area Network) 便 是 基于 iSCSI 存储 协议 ， 采 用 高 速 光 镍 通道 传输 存储 数据 的 服务 
程序 。 





本 图 为 SAN 结构 拓扑 

服务 器 会 基于 iSCSI 协议 将 SCSI 设备 、 命 令 与 数据 打包 成 标准 的 TCP/IP 包 然 后 通过 IP 网 络 传输 到 目标 存储 设备 ， 而 远 端 存储 

设备 接收 到 数据 包 后 需要 基于 iSCSI 协议 将 TCP/IP 包 解 包 成 SCSI 设备 、 命 令 与 数据 ， 这 个 过 程 无 疑 会 消耗 系统 CPU 资源 ， 因 
此 我 们 可 以 将 SCSI 协议 的 封装 动作 交 由 独立 的 iSCSI HBA 硬件 卡 来 处 理 ， 减 少 了 对 服务 器 性 能 的 影响 。 





本 图 中 设备 为 iSCSI HBA 卡 
但 坦白 来 讲 iSCSI 技术 还 是 存在 诸多 问题 的 ， 如 上 距离 与 带宽 之 间 的 矛盾 关系 ， 虽 然 iSCSI 满足 了 数据 长 距离 传输 的 需求 ， 
但 现在 广域网 的 带宽 还 是 不 够 理想 ，IP WARD ZEE fUGEGR Sp SCSI 传输 数据 的 巨大 障碍 。16.2 部 署 iSCSI 存储 
iSCSI 的 工作 方式 分 为 服务 端 (target) 与 客户 端 (initiator): 

服务 端 : 即 存 放 硬盘 或 RAID 设备 的 存储 端 ， 目 的 是 为 客户 端 提供 可 用 的 存储 。 

客户 端 : 使 用 服务 端的 服务 器 主机 。 


VN NON 
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本 实验 需要 两 合 虚拟 主机 来 完成 ， 分 别 是 : 


主机 名 称 操作 系统 
iscsi 服务 端 红 帽 RHEL7 操作 系统 
iscsi 客户 端 2r'"H RHEL7 操作 系统 
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IP 地 址 


192.168.10.10 


192.168.10.20 


贺 辑 单元 LUN( 即 Logical Unit Number) Æ f£ Fl iSCSI 协议 中 的 重要 概念 ， 因 为 当 客户 机 想 要 使 用 服务 端 存 储 设备 时 
都 必需 输入 对 应 的 名 称 (Target ID)， 而 一 个 服务 端 可 能 会 同时 提供 多 个 可 用 的 存储 设备 ， 于 是 便 用 LUN 来 详细 的 描 
述 设 备 或 对 象 ， 同 时 每 个 LUN Device 可 能 代表 一 个 硬盘 或 RAD 设备 ，LUN 的 名 称 由 用 户 指 定 。 


16.2.1 配置 iSCSI 服务 端 
第 1 步 :准备 作为 LUN 发 布 的 存储 设备 。 


在 前 面 的 存储 结构 章节 中 学 习 了 使 用 mdadm 工具 创建 RAD 磁盘 元 余 阵 列 的 方法 ， 筷 记 就 翻 回去 看 下 吧 ~ 


在 虚拟 机 中 再 添加 4 块 硬盘 : 








mS * ons z. T- ag [ame -s 
硬件 | 选项 | 
设备 摘要 | Mi 
M ————— ee omia Sie 。 内 存 大 小 必须 为 4 MB 
MAR m SB Med. 
一 dom 此 虚拟 机 的 内 存 (M): 2048$] MB 
e 2(SCSI) 20 GB 
iE 3(SCSI) 20 GB 
EBER 4 (SCSI) 20 G8 3c8 
EE S(SCSI) 20 GB 2GB CJ 4*4 
"J CD/DVD (SATA) 正在 使 用 文件 D:WAIRRHEL-server-... A 
Fepuaisms 仅 主机 模式 I o 9 dk 
= - "vp Rc 
u m 自动 检测 512 MB "rr race 5 
256 MB 6280 MB 
128 MB a 建议 内 存 
54 MB 2048 MB 


口 建议 的 最 小 客户 机 操作 系统 内 存 
16 MB 1024 MB 


A 必须 先 关 闭 虚 拟 机 ， 才 能 降低 内 存量 。 


ip 虚拟 机 最 多 将 此 内 存 的 768 MB 用 作 图 形 内存 。 您 可 以 
在 So Emp HI e 











创建 RAID5 并 设置 1 HEARE: 


[rootelinuxprobe ~|# mdadm -Cv /dev/md0 -n 3 -1 5 -x 1 /dev/sdb /dev/sdc /dev/sdd /dev/sde 


mdadm: layout defaults to left-symmetric 
mdadm: layout defaults to left-symmetric 
mdadm: chunk size defaults to 512K 
mdadm: size set to 20954624K 
mdadm: Defaulting to version 1.2 metadata 
mdadm: array /dev/md0O started. 
查看 RAID 阵列 的 详细 信息 ， 记 录 下 UUD 的 值 : 
[root@linuxprobe ~|# mdadm -D /dev/mdO 
/ dev/mdO: 
Version : 1.2 
Creation Time : Thu Sep 24 21:59:57 2015 
Raid Level : raid5 
Array Size : 41909248 (39.97 GiB 42.92 GB) 
Used Dev Size : 20954624 (19.98 GiB 21.46 GB) 
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Raid Devices : 3 
Total Devices : 4 
Persistence : Superblock is persistent 
Update Time : Thu Sep 24 22:02:23 2015 
State : clean 
Active Devices : 3 
Working Devices : 4 
Failed Devices : O 
Spare Devices : 1 
Layout : left-symmetric 
Chunk Size : 512K 
Name :linuxprobe.com:O (local to host linuxprobe.com) 
UUID : 3370f643:c10efd6a:44e91122a:20c7 1f3e 


Events : 26 
Number Major Minor  RaidDevice State 
O 8 16 0 active Sync — /dev/sdb 
l 8 92 1 active sync — /dev/sdc 
4 8 48 2 active Sync — /dev/sdd 
3 8 64 - spare — /dev/sde 
创建 RAID 阵列 配置 文件 : 


[rootelinuxprobe ~|# vim /etc/mdadm.conf 

DEVICE /dev/sdb /dev/sdc /dev/sdd /dev/sde 

ARRAY /dev/mdO UUID-23370f643:c10efd6a:44e91f2a:20c71f3e 
第 2 步 :安装 iSCSI target 服务 程序 : 

[rootelinuxprobe ~|# yum -y install targetd targetcli 


Loaded plugins: langpacks, product-id, subscription-manager 


Installing: 
targetcli noarch 2.1 .fb34-1.el7 rhel7 ook 
targetd noarch 0.7.1-1.el7 rhel7 48 k 
Complete! 


启动 iSCSI target 服务 程序 : 

[root@linuxprobe ~|# systemctl start targetd 

将 iSCSI target 服务 程序 添加 到 开机 启动 项 : 

[root@linuxprobe ~|# systemctl enable targetd 

In -s ‘/usr/lib/systemd/system/targetd.service’ /etc/systemd/system/multi-user.target.wants/targetd.service 
第 3 步 :创建 存储 对 象 。 

targetcli 命令 用 于 管理 iSCSI target 存储 设备 ， 格 式 为 :  "targetcli" 
[root&linuxprobe ~|# targetcli 

Warning: Could not load preferences file /root/ targetcli/prefs.bin. 
targetcli shell version 2.1.fb34 

Copyright 2011-2013 by Datera, Inc and others. 


For help on commands, type ‘help.. 
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查看 当前 的 存储 目录 树 : 


/> ls 

ET OEE TE [dl 

OSDI BLOGS quamet rN [...] 
HOSIDIOCK dis np RE REUS [Storage Objects: 0| 

| ll ye [Storage Objects: 0| 
| [Storage Objects: 0| 
-OTT em eet eset [Storage Objects: 0] 
WEM eic MUR NR RR [Targets: O] 

Os J00DDaCR .00 A ns [Targets: O] 


3t /backstores/block 目录 中 : 

/> cd /backstores/block 

/backstores/block> 

使 用 /dev/md0 创建 设备 diskO: 

/backstores/block> create diskO /dev/mdO 

Created block storage object diskO using /dev/ md0. 
返回 到 根 目 录 中 : 

/backstores/block> cd .. 


/backstores» cd .. 


/> 

查看 创建 后 的 设备 : 

/> ls 

TE Te [... 
ae [...] 
Kor le oe [Storage Objects: 1] 
MEES S ao PNE [/dev/mdO (40.0GiB) write-thru deactivated] 
Koai ro ET C [Storage Objects: 0| 
| [Storage Objects: 0| 
[A0 TODOS Rosado pU EA [storage Objects: 0] 
站 [Targets: O] 
DR [Targets: O] 


第 4 步 :配置 iSCSI target 目标 。 

进入 到 iscsi 目录 中 : 

/» cd iscsi 

/iscsi> 

创建 iSCSI target 目标 : 

/iscsi> create 

Created target iqn.2003-01 .org.linux-iscsi.linuxprobe.x8664:sn.d497c356ad80. 
Created TPG 1. 

依次 进入 到 target 的 luns 目录 中 : 

/iscsi» cd iqn.2003-01.org.linux-iscsi.linuxprobe.x8664:sn.d497c356ad80/ 
/iscsi/iqn.20....d497c356ad80» Is 

o- iqn.2003-01 .org.linux-iscsi.linuxprobe.x8664:sn.d497c356ad80 ..... [TPGs: 1] 


Si 6] MN [no-gen-acls, no-auth| 
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Dd lee a he RR EE [ACLs: 0] 
edi [LUNS: 0] 
| Portals: 0] 


/iscsi/iqn.20...d4977c356ad80» cd tpg1/ 
/iscsi/iqn.20...c356ad80/tpg1» cd luns 
/iscsi/iqn.20...d80/tpg1/luns» 

创建 LUN 设备 : 

/iscsi/iqn.20...d80/tpg1/luns» create /backstores/block/diskO 
Created LUN O. 

第 o: 设置 访问 控制 列表 。 

切换 到 acls 目录 中 : 

/iscsi/iqn.20...d80/tpg 1/luns> cd .. 
/iscsi/iqn.20...c356ad80/tpg1> cd acls 

创建 访问 控制 列表 : 

/iscsi/iqn.20...d80/tpg 1/acls> create iqn.2003-01.org.linux-iscsi.linuxprobe.x8664:sn.d497c356ad80:client 
Created Node ACL for iqn.2003-01 .org.linux-iscsi.linuxprobe.x8664:sn.d497c356ad80:client 
Created mapped LUN O. 

切换 到 portals 目录 中 : 

/iscsi/iqn.20...d80/tpg1/acls» cd .. 
/iscsi/iqn.20...c356ad80/tpg1» cd portals 

添加 允许 监听 的 IP 地 址 : 

/iscsi/iqn.20.../tpg1/portals» create 192.168.10.10 

Using default IP port 3260 

Created network portal 192.168.10.10:3260. 


查看 配置 概述 后 退出 工具 : 
/iscsi/iqn.20.../tpg 1/portals> ls / 
A [...] 
o- backstores................. [...] 
Oe DOCK a [Storage Objects: 1] 
I o-«disk0 ues |/dev/mdO (40.0GiB) write-thru activated] 
| o- fileio ............... [Storage Objects: 0| 
| 0- PSCSi cute io [Storage Objects: 0| 
| o- ramdisk ................. [Storage Objects: 0| 
Ge Gl dd [Targets: 1] 
| o- iqn.2003-01 .org.linux-iscsi.linuxprobe.x8664:sn.d497c356ad80 .... [TPGs: 1] 
| DetDE Dossenus [no-gen-acls, no-auth| 
| Odo su E UE. [ACLs: 1] 
| | o- iqn.2003-01 .org.linux-iscsi.linuxprobe.x8664:sn.d497c356ad80:client [Mapped LUNs: 1] 
| | o-mapped lunO .................1...... [lunO block/diskO (rw)] 
OS TUTIS a cete [LUNSs: 1] 
| o- luno ee. [block/diskO (/dev/md0)| 
o- portals ............. [Portals: 1] 


| 
| 
| o- 192.168.10.20:3260 [OK] 
o- loopback „sss... [Targets: O] 
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/> exit 
Global pref auto_save_on_exit=true 
Last 10 configs saved in /etc/target/backup. 
Configuration saved to /etc/target/saveconfig.json 
第 4 步 :创建 防火 墙 允许 规则 : 
[root@linuxprobe ~|# firewall-cmd -permanent --add-port=3260/tcp 
success 
[root@linuxprobe ~|# firewall-cmd --reload 
success 
16.2.2 配置 iSCSI 客户 端 
首先 检查 能 够 与 iscsi 服务 端 通信 : 
[root@linuxprobe ~|# ping -c 4 192.168.10.10 
PING 192.168.10.10 (192.168.10.10) 56(84) bytes of data. 
64 bytes from 192.168.10.10: icmp_seq=1 ttl=64 time=0.959 ms 
64 bytes from 192.168.10.10: icmp_seq=2 ttl=64 time=0.469 ms 
64 bytes from 192.168.10.10: icmp_seq=3 ttl=64 time=0.465 ms 
64 bytes from 192.168.10.10: icmp_seq=4 ttl=64 time=0.277 ms 


--- 192.168.10.10 ping statistics --- 

4 packets transmitted, 4 received, 0% packet loss, time 3002ms 

rtt min/avg/max/mdev = 0.27 7/0.542/0.959/0.253 ms 

2 RHEL7 系统 已 经 默认 安装 了 iscsi 客户 端 服务 程序 : 

[root@linuxprobe ~|# yum install iscsi-initiator-utils 

Loaded plugins: langpacks, product-id, subscription-manager 

Package iscsi-initiator-utils-6.2.0.8 73-21 .el7.x86. 64 already installed and latest version 

Nothing to do 

编辑 的 iscsi 客户 端 名 称 文件 : 

该 名 称 是 initiator 客户 端的 唯一 标识 , 读者 可 以 按照 我 的 方法 修改 , 也 可 以 用 iscsi-iname 命令 随机 生成 ~ 都 可 以 的 。 
[root@linuxprobe ~|# vim /etc/iscsi/initiatorname.iscsi 
InitiatorName=iqn.2003-01.org.linux-iscsi.linuxprobe.x8664:sn.d497c356ad80:client 

重启 iscsi 客 尸 端 服务 程序 : 

[root@linuxprobe ~|# systemctl restart iscsid 

将 iscsi 客户 端 服务 程序 添加 到 开机 启动 项 中 : 

[root@linuxprobe ~|# systemctl enable iscsid 

In -s /usr/lib/systemd/system/iscsid.service' /etc/systemd/system/multi-user.target.wants/iscsid.service 

A 3, iscsi 服务 端的 可 用 存储 设备 : 

iscsiadm 命令 用 于 管理 (插入 、 查 询 、 更 新 或 删除 ) iSCSI 数据 库 配 置 文件 的 命令 行 工 具 ， 格 式 见 下 面 演示 。 
[root@linuxprobe ~|# iscsiadm -m discovery -t st -p 192.168.10.10 

192.168.10.10:3260,1 iqn.2003-01.org.linux-iscsi.linuxprobe.x8664:sn.d497c356ad80 

连接 iscsi 服务 端的 可 用 存储 设备 : 

[root@linuxprobe -]£ iscsiadm -m node -T iqn.2003-01.org.linux-iscsi.linuxprobe.x8664:sn.d497c556ad80 -p 
192.168.10.10 --login 

Logging in to [iface: default, target  iqn.2003-01 .org.linux-iscsi.linuxprobe.x8664:sn.d497c356ad80, portal: 
192.168.10.10,3260] (multiple) 
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Login toliface: default, target iqn.2003-01.org.linux-iscsi.linuxprobe.x8664:sn.d497c356ad80, portal: 
192.168.10.10,3260] successful. 
此 时 便 多 了 一 块 硬盘 设备 : 
[root@linuxprobe ~|# file /dev/sdb 
/dev/sdb: block special 
格式 化 、 挂 载 后 查看 容量 信息 : 
[root@linuxprobe ~|# mkfs.xfs /dev/sdb 
log stripe unit (524288 bytes) is too large (maximum is 256KiB) 
log stripe unit adjusted to 32KiB 
meta-data=/dev/sdb isize-256 agcount=16, agsize=654720 blks 
= sectsz-512 attr=2, projid32bit=1 


= crc=0 

data = bsize=4096 blocks=10475520, imaxpct=25 
= sunit=128 swidth=256 blks 

naming =version 2 bsize=4096 ascii-ci=0 ftype=0 

log =internal log bsize=4096 blocks=5120, version=2 


= sectsz-512 sunit=8 blks, lazy-count-1 
realtime -none extsz-4096 blocks=0, rtextents-O 
[rootelinuxprobe ~|# mkdir /iscsi 
[rootelinuxprobe ~|# mount /dev/sdb /iscsi 
[rootelinuxprobe ~|# df -h 


Filesystem Size Used Avail Use% Mounted on 
/dev/mapper/rhel- root 18G 3.4G 15G 2096/ 

devtmpfs 734M O 734M O% /dev 

tmpfs 742M 176K 742M  196/dev/shm 
tmpfs 742M 8.8M 734M 2%/run 

tmpfs 742M O 742M 0O% /sys/fs/cgroup 
/dev/STO 3.5G 3.5G O 100% /media/cdrom 
/dev/sdal 497M 119M 379M 24% /boot 

/ dev/sdb 40G | 33M 40G 196 /iscsi 

查看 设备 的 UUID 值 : 


[rootelinuxprobe ~]# blkid | grep /dev/sdb 

/ dev/sdb: UUID-"eb9cbf2f-fce8-4 1 3a-b7 70-8bOf243e8ad6" TYPE="xfs" 

设置 为 开机 后 自动 挂 载 时 因为 ISCSUICAAS E ACT IP 网 络 传输 数据 , 所 以 我 们 必需 在 fstab 文件 中 添加 参数 _netdev， 
代表 网 络 联通 后 再 挂 载 : 

[rootelinuxprobe ~|# vim /etc/fstab 

UIDzeb9cbf2f-fce8-4 1 3a-b7 70-8bOf243e8ad06 /iscsi xfs defaults, netdev O O 
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第 17 章 使 用 OpenLDAP 部 署 目 录 服 务 。 

章节 概述 : 
本 章节 将 理解 目录 服务 的 概念 ， 学 习 OpenLdap 服务 程序 与 TLS 加 密 协议 的 部 署 方法 ， 并 自动 挂 载 用 户 目录 。 
通过 部 署 目 录 服 务实 现 对 系统 帐户 的 集中 式 管理 , 相 比 于 X.500 协议 具有 更 快 的 查询 速度 、 更 少 的 消耗 资源 等 优势 。 
17.1 了 解 目 录 服 务 
回忆 前 面 所 学 的 章节 ， 我 们 发 现 其 实 目录 可 以 被 理解 成 是 一 种 为 查询 、 浏 览 或 搜索 的 数据 库 ， 但 数据 库 又 分 为 了 目录 
数据 库 和 关系 数据 库 ， 目 录 数 据 库 主 要 用 于 存储 较 小 的 信息 〈 如 姓名 、 电 话 、 主 机 名 等 )， 同 时 具有 很 好 的 读 性 能 ， 
但 在 写 性 能 方面 比较 差 ， 所 以 不 适合 存放 那些 需要 经 常 修改 的 数据 。 
目录 服务 则 是 由 目录 数据 库 和 一 套 能 够 访问 和 处 理 数 据 库 信息 的 协议 组 成 的 服务 协议 ， 用 于 集中 的 管理 主机 帐号 密 
码 ， 员 工 名 字 等 数据 ， 大 大 的 提升 了 管理 工作 效率 。 
轻 量 级 目录 访问 协议 LDAP(Lightweight Directory Access Protocol) 是 在 目录 访问 协议 X.500 的 基础 上 研发 的 ， 主 要 的 优势 是 : 
X.500 目录 协议 功能 非常 腔 肿 ， 消 耗 大 量 资源 ， 无 法 做 到 快速 查询 且 不 支持 TCP/IP 协议 网 络 。 
LDAP 采用 树 状 结构 存储 数据 (类 似 于 前 面 学 习 的 DNS 服务 程序 )， 用 于 在 IP 网 络 层面 实现 对 分 布 式 目录 的 访问 和 
管理 操作 ， 条 目 是 LDAP 协议 中 最 基本 的 元 素 ， 可 以 想象 成 字典 中 的 单词 或 者 数据 库 中 的 记录 ， 通 党 对 LDAP 服务 

程序 的 添加 、 删 除 、 更 改 、 搜 索 都 是 以 条 目 为 基本 对 象 的 。 





dc=mydomain,dc=o0rg 


—— — — 


cn=admin ou=marketing ou-network 







cn=linuxprobe cn=evangelion 


LDAP 树 状 结构 存储 数据 

dn: 每 个 条 目的 唯一 标识 符 ， 如 上 图 中 linuxprobe 的 dn 值 是 : 
cn=linuxprobe,ou=marketing,ou=people,dc=mydomain,dc=org 

rdn: 一 般 为 dn 值 中 最 左 侧 的 部 分 ， 如 上 图 中 linuxprobe 的 rdn HÆ: cn-linuxprobe 

base DN: 此 为 基准 DN 值 ， 表 示 顶 层 的 根部 ， 上 图 中 的 base DN Æ: dc=mydomain,dc=org 

而 每 个 条 目 可 以 有 多 个 属性 〈 如 姓名 、 地 址 、 电 话 等 )， 每 个 属性 中 会 保存 着 对 象 名 称 与 对 应 值 ，LDAP 已 经 为 运 维 
人 员 对 常见 的 对 象 定义 了 属性 ， 其 中 有 : 


属性 名 称 属性 别名 语法 描述 值 (举例) 
commonName cn Directory String 名 子 sean 
surname sn Directory String 姓氏 Chow 
organizationalUnitName ou Directory String 单位 〈 部 门 ) 名 称 IT_SECTION 
organization O Directory String 组 织 (公司 ) 名 称 linuxprobe 
telephoneNumber Telephone Number 电话 号 码 911 


objectClass 内 置 属性 organizationalPerson 
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17.2 目录 服务 实验 
OpenLdap 是 基于 LDAP 协议 的 开源 程序 ， 它 的 程序 名 称 叫做 slapd， 本 次 实验 需要 用 到 两 合 主机 : 


主机 名 称 操作 系统 IP 地 址 
LDAP 服务 端 红 帆 RHEL7 操作 系统 192.168.10.10 


(instructor.linuxprobe.com) 


LDAP 客户 端 红 帆 RHEL7 操作 系统 192.168.10.20 


17.2.1 配置 LDAP 服务 端 : 
安装 openldap 与 相关 的 软件 包 : 
[root@linuxprobe ~|# yum install -y openldap openldap-clients openldap-servers migrationtools 


Loaded plugins: langpacks, product-id, subscription-manager 


Installing: 
migrationtools noarch 47-15.el7 rhel7 26k 
openldap-clients x86. 64 2.4.39-3.el7 rhel7 183k 
openldap-servers x86. 64 2.4.39-3.el7 rhel7 2.1M 

OETI EAS 2r EEE EE E Lc eeeteree ee 

Complete! 


生成 密 钥 文件 〈 记 下 生成 出 的 值 ， 后 面 要 用 ): 

[rootelinuxprobe ~|# slappasswd -s linuxprobe -n > /etc/openldap/passwd 

[rootelinuxprobe ~|# cat /etc/openldap/passwd 

ISSHAWw/GJvGG8SbluCxhfTDVhkmW Euz2afNIR 

写 入 一 条 主机 与 IP 地 址 的 解析 记录 : 

[root@linuxprobe ~|# echo "192.168.10.10 instructor.linuxprobe.com'" >> /etc/hosts 

因为 LDAP 目录 服务 是 以 明文 的 方式 在 网 络 中 传输 数据 的 〈 包 括 密码 )， 这 样 真 的 很 不 安全 ， 所 以 我 们 采用 TLS 加 密 
机 制 来 解决 这 个 问题 ， 使 用 openssl 工具 生成 X509 格式 的 证 书 文件 (有 效 期 为 365 天 ) : 

[root@linuxprobe ~|# openssl req -new -x509 -nodes -out  /etc/openldap/certs/cert.:pem -keyout 
/etc/openldap/certs/priv.pem -days 365 

Generating a 2048 bit RSA private key 


You are about to be asked to enter information that will be incorporated 
into your certificate request. 

What you are about to enter is what is called a Distinguished Name or a DN. 
There are quite a few fields but you can leave some blank 

For some fields there will be a default value, 

If you enter '., the field will be left blank. 

Country Name (2 letter code) [XX]: & iz El # 

State or Province Name (full name) []: 散 击 回 车 

Locality Name (eg, city) [Default City]:&& dz El # 
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Organization Name (eg, company) [Default Company Ltd]: & i [El £ 
Organizational Unit Name (eg, section) []:& i E # 
Common Name (eg, your name or your server hostname) []:instructor.linuxprobe.com 
修改 证 书 的 所 属 与 权限 : 
[rootelinuxprobe ~|# cd /etc/openldap/certs/ 
[rootelinuxprobe certs|# chown ldap:ldap * 
[rootelinuxprobe certs|# chmod 600 priv.pem 
[root&linuxprobe certs|# Is -al 
total 8 
drwxr-xr-x. 2 root root 36 Oct 5 13:41 . 
drwxr-xr-x. 5 root root 100 Oct 5 13:39 .. 
-rw-r-r--. 1 ldap ldap 1318 Oct 5 13:41 cert.pem 
-TW------- . 1 ldap ldap 1704 Oct 5 13:41 priv.pem 
复制 一 份 LDAP 的 配置 模板 : 
[root@linuxprobe ~|# cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/Idap/DB. CONFIG 
生成 数据 库 文件 (不 用 担心 报错 信息 ): 
[root@linuxprobe ~|# slaptest 
5610aaa9 hdb_db_open: database "dc=my-domain,dc=com": db_open(/var/lib/ldap/id2entry.bdb) failed: No such 
file or directory (2). 
5610aaa9 backend. startup. one (type-hdb, suffix-'dc2my-domain,dc2com"): bi db open failed! (2) 
slap. startup failed (test would succeed using the -u switch) 
修改 LDAP 数据 库 的 所 属 主 与 组 : 
[rootelinuxprobe ~|# chown ldap:ldap /var/lib/ldap/* 
局 动 slapd 服务 程序 并 设置 为 开机 启动: 
[root@linuxprobe ~|# systemctl restart slapd 
[root&linuxprobe ~|# systemctl enable slapd 
In -s /usr/lib/systemd/system/slapd.service' /etc/systemd/system/multi-user.target.wants/slapd.service' 
在 LDAP 目录 服务 中 使 用 LDIF(LDAP Interchange Format) 格 式 来 保存 信息 ， 而 LDIF 是 一 种 标准 的 文本 文件 且 可 以 随意 的 
导入 导出 ， 所 以 我 们 需要 有 一 种 “格式 ”标准 化 LFID 文件 的 写法 ， 这 中 格式 叫做 “schema”，schema 用 于 指定 一 个 目录 
中 锁 包 含 对象 的 类 型 , 以 及 每 一 个 类 型 中 的 可 选 属性 , 我 们 可 以 将 schema 理解 为 面向 对 象 程 序 设计 中 的 “类 ”, 通过 “类 ” 
定义 出 具体 的 对 象 ， 因 此 其 实 LDIF 数据 条 目 则 都 是 通过 schema. 数据 模型 创建 出 来 的 具体 对 象 : 
ldapadd 命令 用 于 将 LD 正 文件 导入 到 目录 服务 数据 库 中 ， 格 式 为 : “ldapadd [参数 ] LDIF 文件 ”。 





参数 作用 

Xx 进行 简单 认证 。 

-D ATRESI dn 
-h: 目录 服务 的 地 址 。 

is 绑 定 dn 的 密码 。 


-f: 使 用 LDIF 文件 进行 条 目 添 加 的 文件 。 
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添加 cosine 和 nis 模块 : 
[rootelinuxprobe ~|# cd /etc/openldap/schema/ 
[root@linuxprobe schema]* Idapadd -Y EXTERNAL -H ldapi:/// -D "cn-config" -f cosine.ldif 
SASL/EXTERNAL authentication started 
SASL username: gidNumber-O-uidNumber-O,cn-peercred,cnzexternal,cn-auth 
SASL SSF: 0 
adding new entry "cn2cosine,cn-schema,cn-config" 
[rootelinuxprobe schema] * ldapadd -Y EXTERNAL -H ldapi:/// -D "cn-config" -f nis.ldif 
SASL/EXTERNAL authentication started 
SASL username: gidNumber-O-uidNumber-O,cn-peercred,cnzexternal,cn-auth 
SASL SSF: O 
adding new entry "cn=nis,cn=schema,cn=config" 
创建 /etc/openldap/changes.ldif 文件 ， 并 将 下 面 的 信息 复制 进去 (注意 有 一 处 要 修改 的 地 方 ): 
[root@linuxprobe ~|# vim /etc/openldap/changes.ldif 
dn: olcDatabase={2}hdb,cn=config 
changetype: modify 
replace: olcSuffix 


olcSuffix: dc=linuxprobe,dc=com 


dn: olcDatabase={2}hdb,cn=config 
changetype: modify 
replace: olcRootDN 


olcRootDN: cn=Manager,dc=linuxprobe,dc=com 


dn: olcDatabase={2}hdb,cn=config 

changetype: modify 

replace: olcRootPW 

olcRootPW: 此 处 输入 之 前 生成 的 密码 (如 {SSHA}v/GJvGG8SbIuCxhfTDVhkmWEuz2afNIR) 


dn: cn=config 

changetype: modify 

replace: olcTLSCertificateFile 

olcTLSCertificateFile: /etc/openldap/certs/cert.pem 


dn: cn=config 

changetype: modify 

replace: olcTLSCertificateKeyFile 
olcTLSCertificateKeyFile: /etc/openldap/certs/priv.pem 


dn: cn-config 
changetype: modify 
replace: olcLogLevel 


olcLogLevel: -1 
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dn: olcDatabase={1}monitor,cn=config 
changetype: modify 


replace: olcAccess 


olcAccess: {0}to * by dn.base-'gidNumber-O-uidNumber-O,cn-peercred,cnzexternal,cn-auth" 


dn.base= cn=Manager,dc=linuxprobe,dc=com read by * none 

将 新 的 配置 文件 更 新 到 slapd 服务 程序 : 

[root@linuxprobe ~|# ldapmodify -Y EXTERNAL -H ldapi:/// -f /etc/openldap/changes.ldif 
SASL/EXTERNAL authentication started 

SASL username: gidNumber-O-uidNumber-O,cn-peercred,cnzexternal,cn-auth 
SASL SSF: O 

modifying entry "olcDatabase-(2jhdb,cn-config" 

modifying entry "olcDatabase-(2jhdb,cn-config" 

modifying entry "olcDatabase-(2jhdb,cn-config" 

modifying entry cn=config 

modifying entry 'cn-config" 

modifying entry 'cn-config" 

modifying entry "olcDatabase-11jmonitor,cn-config" 

A| € /etc/openldap/base.dif 5 ft, H4 T H fa B E S EX : 

[rootelinuxprobe ~|# vim /etc/openldap/base.ldif 

dn: dc-linuxprobe,dc-com 

dc: linuxprobe 

objectClass: top 


objectClass: domain 


dn: ou-People,dc-linuxprobe,dc-com 
ou: People 

objectClass: top 

objectClass: organizationalUnit 

dn: ou2Group.dc-linuxprobe,dc-com 
ou: Group 

objectClass: top 


objectClass: organizationalUnit 


创建 目录 的 结构 服务 : 
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read by 


[root&linuxprobe ~|# Idapadd -x -w linuxprobe -D cn-Manager,dc-linuxprobe,dc-com -f /etc/openldap/base.ldif 


adding new entry "dc-linuxprobe,dc-com" 

adding new entry "ou-People,dc-linuxprobe,dc2com" 
adding new entry "'ou2Group,dc-linuxprobe,dc-com" 
人 刨 建 测试 用 尸 并 设置 其 密码 : 

[rootelinuxprobe ~|# useradd -d /home/ldap ldapuser 
[rootelinuxprobe ~|# passwd ldapuser 

Changing password for user ldapuser. 

New password: 此 处 输入 要 给 用 户 设置 的 密码 

Retype new password: 再 次 输入 密码 


passwd: all authentication tokens updated successfully. 
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设置 帐户 的 迁移 (修改 第 71 7447): 
[rootelinuxprobe ~|# vim /usr/share/migrationtools/migrate common.ph 
$DEFAULT MAIL DOMAIN = "linuxprobe.com"; 
SDEFAULT. BASE = 'dc-linuxprobe,dc-com"; 
将 当前 系统 中 的 用 户 迁 移 至 目录 服务 : 
[root@linuxprobe ~|# cd /usr/share/migrationtools/ 
[root&elinuxprobe migrationtools]| 2 grep ":10[0-9][0-9]" /etc/passwd &gt; passwd 
[root&linuxprobe migrationtools] # ./migrate passwd.pl passwd users.ldif 
[root&elinuxprobe migrationtools]  Idapadd -x -w linuxprobe -D cn-Manager,dc-linuxprobe,dc-com -f users.ldif 
adding new entry "uid-linuxprobe,ou-People,dc-linuxprobe,dc-com" 
adding new entry "uid-ldapuser,ou-People,dc-linuxprobe,dc-com" 
将 当前 系统 中 的 用 户 组 迁移 至 目录 服务 : 
[root@linuxprobe migrationtools|# grep ":10[0-9][0-9]" /etc/group &gt; group 
[root&elinuxprobe migrationtools] # ./migrate group.pl group groups.ldif 
[root&linuxprobe migrationtools]  Idapadd -x -w linuxprobe -D cn-Manager,dc-linuxprobe,dc-com -f groups.ldif 
adding new entry "cn-linuxprobe,ou-Group,dc-linuxprobe,dc-com" 
adding new entry "cn-ldapuser,ou-Group,dc-linuxprobe,dc-com'" 
测试 linuxprobe 用 户 的 配置 文件 : 
[rootelinuxprobe ~|# ldapsearch -x cn=ldapuser -b dc-linuxprobe,dc-com 
# extended LDIF 
# 
# LDAPv3 
# base <dc=linuxprobe,dc=com> with scope subtree 
# filter: cn=ldapuser 
# requesting: ALL 
# 
# ldapuser, People, linuxprobe.com 
dn: uid=ldapuser,ou=People,dc=linuxprobe,dc=com 
uid: ldapuser 
cn: ldapuser 
objectClass: account 
objectClass: posixAccount 
objectClass: top 
objectClass: shadowAccount 
userPassword:: eZNyeXBOfSQ2]FdtcXFveHFIJFENaU1pZDAuLO 1 KLnBrR 1 ZKLkdVSVIWalguTXh 
xLIBBUKk1IeGJseGdkVTBwOUxwcTBJTZhuYnkwNFkzdXh1Zi9QaWFpUUtILkOwUHdQNFpxRXJQVOcv 
shadowLastChange: 16713 
shadowMin: O 
shadowMax: 99999 
shadowWarning: 7 
loginShell: /bin/bash 
uidNumber: 1001 
gidNumber: 1001 


homebDirectory: /home/ldapuser 


(Linux LZ XX AA 5$) 
# Idapuser, Group, linuxprobe.com 
dn: cn-ldapuser,ou-Group,dc-linuxprobe,dc-com 
objectClass: posixGroup 
objectClass: top 
cn: Idapuser 
userPassword:: e2NyeXBOfXg- 
gidNumber: 1001 


# search result 
search: 2 


result: O Success 


# numResponses: 3 

# numPntries: 2 

安装 httpd 服务 程序 : 

[root@linuxprobe ~|# yum install httpd 


HTTP://www.linuxprobe.com 


Loaded plugins: langpacks, product-id, subscription-manager 


Installing: 
httpd x86_64 2.4.6-17.el7 
Installing for dependencies: 
apr x86_64 1.4.8-3.el7 
apr-util x86 64 1.5.2-6.el7 
httpd-tools x86 64 2.4.6-17.el7 
mailcap noarch 2.1.41-2.el7 


Complete! 
将 密 钥 文件 上 传 至 网 站 目录 : 


rhel7 


rhel7 
rhel7 
rhel7 
rhel7 


[rootelinuxprobe ~|# cp /etc/openldap/certs/cert.pem /var/www/html 


将 httpd 服务 程序 重启 ， 并 添加 到 开机 启动 项 : 
[root@linuxprobe ~|# systemctl restart httpd 
[rootelinuxprobe ~|# systemctl enable httpd 


1.2 M 


103 k 
92 k 
TT k 
31k 
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In -s /usr/lib/systemd/system/httpd.service' /etc/systemd/system/multi-user.target.wants/httpd.service' 


清空 防火 墙 的 规则 并 保存 状态 : 
[rootelinuxprobe ~|# iptables -F 

SUCCESS 

[root@linuxprobe ~|# service iptables save 


SUCCESS 


在 日 志 记录 服务 的 配置 文件 中 追加 下 面 语句 ， 并 重启 日 


[rootelinuxprobe ~|# vim /etc/rsyslog.conf 
local4.* /var/log/ldap.log 


[rootelinuxprobe ~|# systemctl restart rsyslog 


志 服 务 : 
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17.2.2 配置 LDAP 客户 端 
将 LDAP 服务 端 主机 名 与 IP 地址 的 解析 记录 写 入 : 
[rootelinuxprobe -]* echo "192.168.10.10 instructor.linuxprobe.com" >> /etc/hosts 
安装 相关 的 软件 包 : 
[root@linuxprobe Desktop|# yum install openldap-clients nss-pam-ldapd authconfig-gtk pam krb5 


Loaded plugins: langpacks, product-id, subscription-manager 


Installing: 
authconfig-gtk x86 64 6.2.8-8.el7 rhel 105 k 
nss-pam-ldapd x86. 64 0.8.13-8.el7 rhel 159 k 
openldap-clients x86. 64 2.4.39-3.el7 rhel 183k 
pam, krb5 x86 64 2.4.8-A.el7 rhel 158 k 
Installing for dependencies: 
nscd x86 64 2.17-55.el7 rhel 250k 
——— D e PASE PE EE EE 
Complete! 


运行 系统 认证 工具 ， 并 填写 LDAP 服务 信息 : 
[root@linuxprobe ~|# system-config-authentication 


Authentication Configuration 
n 
Identity & Authentication | Advanced Options | Password Options 


User Account Configuration 
User Account Database: LDAP ba 
LDAP Search Base DN: | dc-linuxprobe,dc-com 
LDAP Server: Ldap://instructor.linuxprobe.co 
v! Use TL5 to encrypt connections 


a Download CA Certificate... 


D 


Authentication Configuration 


Authentication Method: Kerberos password 2E 
Realm: # 
KDCs: 


Admin Servers: 


| Use DNS to resolve hosts to realms 


vw Use DNS to Locate KDCs for realms 


Revert Cancel Apply 
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填写 证 书 地 址 : 


Download CA Certificate 


To verify the LDAP server with TLS protocol enabled 
you need a CA certificate which signed the server's 
certificate. Please fill in the URL where the CA 
certificate in the PEM format can be downloaded from. 


Certificate URL: http://instructor.linuxprobe.com/cert.pem| 


Cancel OK 


稍 等 片刻 后 ， 验 证 本 地 是 否 已 经 有 了 Idapuser fl P : 

[root@linuxprobe ~|# id ldapuser 

uid-1001 (Idapuser) gid=1001(ldapuser) groups=1001 (Idapuser) 

此 时 说 明 已 经 可 以 通过 LDAP 服务 端 验证 了 ， 并 且 ldapuser 用 户 的 帐号 信息 也 不 会 保存 在 您 本 地 的 /etc/passwd 文件 中 ~ 
17.3 自动 挂 载 用 户 目录 … 

虽然 在 客户 端 已 经 能 够 使 用 LDAP 验证 帐户 了 ， 但 是 当 切 换 到 ldapuser 用 户 时 会 提示 没有 该 用 户 的 家 目录 : 
[root@linuxprobe ~|# su - Idapuser 

su: warning: cannot change directory to /home/ldapuser: No such file or directory 

mkdir: cannot create directory /home/ldapuser': Permission denied 

原因 是 本 机 并 没有 该 用 户 的 家 目录 ， 我 们 需要 配置 NFS 服务 将 用 户 的 家 目录 自动 挂 载 过 来 : 
E LDAP 服务 端 添加 共享 信息 (NFS 服务 程序 已 经 默认 安装 ， 我 们 之 前 学 过 还 记得 吗 ? ): 
[root@linuxprobe ~|# vim /etc/exports 

/home/ldap 192.168.10.20 (rw,sync,root, squash) 

重启 nfs-server 服务 程序 : 

[root&linuxprobe ~|# Systemctl restart nfs-server 

E LDAP 客户 端 查看 共享 信息 : 

[root@linuxprobe ldap|# showmount -e 192.168.10.10 

Export list for 192.168.10.10: 

/home/ldap 192.168.10.20 

将 共享 目录 挂 载 到 本 地 : 

[rootelinuxprobe ~|# mkdir /home/ldap 

[rootelinuxprobe Idap]# mount -t nfs 192.168.10.10:/home/ldap /home/ldap 

再 次 尝试 切 换 到 ldapuser 用 户 ， 这 样 非常 顺利 : 

[rootelinuxprobe ldapl]# su - Idapuser 

Last login: Tue Oct 6 11:51:25 CST 2015 on pts/3 

[Idapuserelinuxprobe -]$ 

设置 为 开机 自动 挂 载 : 

[rootelinuxprobe ~|# vim /etc/fstab 

192.168.10.10:/home/ldap /home/ldap nfs defaults O O 
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第 18 € 使 用 MariaDB 数据 库 管 理 系统 。 
章节 概述 : 
MYSQL 数据 库 管 理 系统 被 Oracle 公司 收购 后 从 开源 换 向 到 了 封闭 ， 导 致 包括 红 帆 在 内 的 许多 Linux 发 行 版 选择 了 MariaDB. 
本 章 市 将 教会 您 使 用 mariaDB 数据 库 管 理工 具 来 管理 数据 库 ， 学 习 对 数据 表单 的 新 建 、 搜 索 、 更 新 、 插 入 、 删 除 等 常用 操作 。 
并 且 熟 练 掌握 对 数据 库 内 用 户 的 创建 与 授权 ， 数 据 库 的 备份 与 恢复 方法 ， 不 仅 满足 了 RHCE 考题 要 求 ， 还 能 帮助 您 的 运 维 工作 。 


18.1 数据 库 管理 系统 

我 们 的 生活 中 无 时 无 刻 都 在 接触 到 数据 ， 而 数据 库 便 是 通过 指定 的 组 织 结构 将 这 数据 存储 的 仓库 ， 并 且 随 着 互联 网 
和 信息 技术 的 发 展 ， 数 据 库 也 已 经 从 最 初 只 能 存储 简单 表格 发 展 到 了 存储 海量 数据 的 大 型 分 布 式 模式 。 

在 信息 化 社会 ， 充分 有 效 地 管理 和 利用 各 类 信息 资源 ， 是 进行 科学 研究 和 决策 管理 的 前 提 条 件 。 数 据 库 技术 是 管理 信 
息 系统 、 办 公 自动 化 系统 、 决 策 支 持 系 统 等 各 类 信息 系统 的 核心 部 分 ， 是 进行 科学 研究 和 决策 管理 的 重要 技术 手段 。 
数据 库 管 理 系统 ( 即 Database Management System) 是 一 种 能 够 对 数据 库 进 行 建立 、 使 用 和 和 维护 的 软件 程序 ， 数 据 库 管 
理 系 统 通过 将 计算 机 中 具体 的 物理 数据 转换 成 适合 用 户 理解 的 抽象 逻辑 数据 ， 方 便 用 户 维护 数据 库 的 安全 和 可 用 性 。 






MariaDB MYSQÙ. 


MYSQL 是 一 款 大 家 都 非常 熟知 的 数据 库 管理 系统 , 技术 成 熟 、 配 置 简单 、 开 源 免费 并 且 有 良好 的 扩展 性 , 183€ MYSQL 
在 被 Oracle 公司 收购 后 日 渐 陷 从 开源 转变 为 了 封闭 ， 缓 慢 的 更 新 让 众多 Linux 发 行 版 〈 如 红 帽 RHEL7、Fedora、 
Centos, OpenSUSE, Slackware 等 等 ) 以 及 诸多 已 经 决定 放弃 使 用 这 个 往日 最 具 人 气 的 数据 库 管 理 系统 ， 而 转向 到 
了 MariaDB. 

MariaDB 是 MYSQL 数据 库 管 理 系 统 的 一 个 由 开源 社区 维护 的 分 支 产 品 ， 完 全 兼容 于 MYSQL, 3J8BRE&A Google 
与 Wikipedia 这 样 的 行业 巨头 已 经 采用 了 MariaDB， 但 并 不 意味 着 会 比 MYSQL 有 明显 的 性 能 提升 ， 而 是 从 技术 如 
断 角度 作出 的 决定 。 


18.2 初始 化 mariaDB 服务 程序 


安装 mariaDB 服务 程序 : 
[root@linuxprobe ~|# yum install mariadb mariadb-server 


Loaded plugins: langpacks, product-id, subscription-manager 


Installing: 
mariadb x86. 64 1:5.5.35-3.el7 rhel7 8.9 M 
mariadb-server x86 64 1:5.5.35-3.el7 rhel7 11M 
Complete! 


启动 mariadb 服务 程序 并 添加 到 开机 启动 项 中 : 

[root@linuxprobe ~|# systemctl start mariadb 

[root&linuxprobe ~|# systemctl enable mariadb 

In -s /usr/lib/systemd/system/mariadb.service' /etc/systemd/system/multi-user.target.wants/mariadb.service' 


为 了 保证 数据 库 的 安全 性 ， 一 定 要 进行 初始 化 工作 : 


第 1 步 : 设 定 root 用 户 密码 。 
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第 2 步 : 删除 匿名 帐号 。 
第 3 步 : 禁止 root 用 户 从 远程 登陆 。 
第 4 步 : 删除 test 数据 库 并 取消 对 其 的 访问 权限 。 
第 5 步 : 刷新 授权 表 ， 让 初始 化 后 的 设 定 立即 生效 。 
初始 化 数据 库 服务 程序 : 
[root@linuxprobe ~|# mysql secure installation 
/usr/ bin/mysql secure installation: line 379: find mysql client: command not found 
NOTE: RUNNING ALL PARTS OF THIS SCRIPT IS RECOMMENDED FOR ALL MariaDB 
SERVERS IN PRODUCTION USE! | PLEASE READ EACH STEP CAREFULLY! 
In order to log into MariaDB to secure it, well need the current 
password for the root user. If you've just installed MariaDB, and 
you haven't set the root password yet, the password will be blank, 
so you should just press enter here. 
Enter current password for root (enter for none): 当前 数据 库 密码 为 空 ， 直 接 敲 击 回 车 。 
OK, successfully used password, moving on... 
Setting the root password ensures that nobody can log into the MariaDB 
root user without the proper authorisation. 
Set root password? [Y/n] y 
New password: 输入 要 为 root 用 户 设置 的 数据 库 密码 。 
Re-enter new password: 重复 再 输入 一 次 密码 。 
Password updated successfully! 
Reloading privilege tables.. 
... 9UCCeSS| 
By default, a MariaDB installation has an anonymous user, allowing anyone 
to log into MariaDB without having to have a user account created for 
them. This is intended only for testing, and to make the installation 
go a bit smoother. You should remove them before moving into a 
production environment. 
Remove anonymous users? [Y/n] y (期 除 匿名 帐号 ) 
... ouccess! 
Normally, root should only be allowed to connect from localhost. This 
ensures that someone cannot guess at the root password from the network. 
Disallow root login remotely? [Y/n] y(&& iE. root 用 户 从 远程 登陆 ) 
... ouccess! 
By default, MariaDB comes with a database named test that anyone can 
access. This is also intended only for testing, and should be removed 
before moving into a production environment. 
Remove test database and access to it? [Y/n] y (All KR test 数据 库 并 取消 对 其 的 访问 权限 ) 
- Dropping test database... 
... ouccess! 
- Removing privileges on test database... 
... ouccess! 
Reloading the privilege tables will ensure that all changes made so far 


will take effect immediately. 
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Reload privilege tables now? [Y/n] y( 刷 新 授权 表 ， 让 初始 化 后 的 设 定 立 即 生 效 ) 


... 9uccess! 
Cleaning up... 
All done! If you've completed all of the above steps, your MariaDB 
installation should now be secure. 
Thanks for using MariaDB! 
设置 防火 墙 对 数据 库 服 务 的 允许 策略 : 
[root@linuxprobe ~|# firewall-cmd --permanent --add-service=mysd] 
success 
[root@linuxprobe ~|# firewall-cmd --reload 
success 
使 用 root 用 户 登 陆 到 数据 库 中 : 
[root@linuxprobe ~|# mysql -u root -p 
Enter password: 此 处 输入 root 用 户 在 数据 库 中 的 密码 。 
Welcome to the MariaDB monitor. Commands end with ; or \g. 
Your MariaDB connection id is 5 
server version: 5.5.35-MariaDB MariaDB Server 
Copyright (c) 2000, 2013, Oracle, Monty Program Ab and others. 
Type help; or ^h' for help. Type ^c' to clear the current input statement. 
MariaDB [(none)]» 
查看 当前 已 有 的 数据 库 : 


MariaDB [(none)|> show databases; 


| information schema | 


| mysql | 
| performance schema | 


3 rows in set (0.01 sec) 

修改 当前 用 户 在 数据 库 中 的 密码 (示例 中 的 密码 为 redhat) : 
MariaDB [(none)]» set password = password(redhat’): 
Query OK, 0 rows affected (0.00 sec) 

MariaDB [(none)]» exit 

Bye 

使 用 旧 的 密码 将 不 能 再 登陆 到 数据 库 : 

[root@linuxprobe ~|# mysql -u root -p 

Enter password: 

ERROR 1045 (28000): Access denied for user root?" localhost. (using password: YES) 
18.3. 管理 数据 库 与 表单 数据 
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关系 型 数据 库 (DataBase) 是 由 一 个 或 多 个 数据 表单 (Table) 组 成 的 , 数据 表单 则 一 般 会 保存 着 多 个 数据 记录 (Record)。 


18.3.1 创建 用 户 并 授权 
创建 一 个 新 的 数据 库 用 户 : 
创建 数据 库 用 户 的 命令 :CREATE USER 用 户 名 @ 主 机 名 IDENTIFIED BY “和 密码”: 
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MariaDB [(none)]» create user luke@localhost IDENTIFIED BY 1linuxprobe 


Query OK, 0 rows affected (0.00 sec) 
进入 到 mysql 数据 库 中 : 


MariaDB [(none)]» use mysql; 


Reading table information for completion of table and column names 


You can turn off this feature to get a quicker startup with -A 


查看 新 创建 的 用 户 、 主 机 、 姓 名 与 密码 信息 : 


MariaDB |mysqlj> select host,user,password from user where user= luke 


+----------- +------ +------------------------------------------- + 
| host | user | password 
+----------- +------ +------------------------------------------- + 


| localhost | luke | *55D9962586BE75F4B7D421E6655973DB07D6869F | 


+----------- +------ +------------------------------------------- + 
1 row in set (0.00 sec) 

退出 数据 库 后 使 用 新 用 户 登 陆 : 

MariaDB [mysql]> exit 

Bye 

[root@linuxprobe ~|# mysql -u luke -p 

Enter password: 此 处 输入 luke 用 户 的 数据 库 密 码 


Welcome to the MariaDB monitor. Commands end with ; or ^g. 


Your MariaDB connection id is 6 


Server version: 5.5.35-MariaDB MariaDB Server 


Copyright (c) 2000, 2013, Oracle, Monty Program Ab and others. 


Type help; or ^h' for help. Type ^c' to clear the current input statement. 


此 时 只 能 查看 到 一 个 数据 库 : 


MariaDB [(none)]|» show databases; 


| Database | 


| information schema | 


1 row in set (0.03 sec) 
数据 库 GRANT 命令 的 授权 操作 常用 方案 : 


命令 

GRANT 权限 ON 数据 库 .表单 名 称 TO 用 户 名 @ 主 机 名 
GRANT 权限 ON 数据 库 * TO 用 户 名 @ 主 机 名 

GRANT 权限 ON ** TO 用 户 名 @ 主 机 名 

GRANT 权限 1, 权 限 2 ON 数据 库 .* TO 用 户 名 @ 主 机 名 


GRANT ALL PRIVILEGES ON *.* TO 用 户 名 @ 主 机 名 


切换 回 root 用 户 登 陆 数 据 库 并 进入 到 mysql 数据 库 中 : 


作用 


对 某 个 特定 数据 库 中 的 特定 表单 给 予 授权 。 


对 某 个 特定 数据 库 中 的 所 有 表单 给 予 授权 。 


对 所 有 数据 库 及 所 有 表单 给 予 授权 。 


对 某 个 数据 库 中 的 所 有 表单 给 予 多 个 授权 。 


对 所 有 数据 库 及 所 有 表单 给 予 全 部 授权 ，( 谨 慎 操 作 )。 
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[root@linuxprobe ~|# mysql -u root -p 

MariaDB [(none)]» use mysql; 

Reading table information for completion of table and column names 
You can turn off this feature to get a quicker startup with -A 
Database changed 

à T luke 用 户 对 user RANAH, EA MER EARR: 


MariaDB [mysql|» GRANT SELECT,UPDATE,DELETE,INSERT on mysql.user to luke@localhost; 


Query OK, 0 rows affected (0.00 sec) 
查看 luke 用 户 当前 的 授权 : 
MariaDB [(none)]&gt; show grants for luke@localhost; 


| GRANT USAGE ON *.* TO luke@localhost IDENTIFIED 
PASSWORD '*55D9962586BE75FA4B7D421E6655973DB07D6869F | 
| GRANT SELECT, INSERT, UPDATE, DELETE ON mysql.user TO uke'e"localhost | 


2 rows in set (0.00 sec) 
再 次 切换 到 luke 用 户 后 查看 可 用 的 数据 库 : 
[root@linuxprobe ~|# mysql -u luke -p 


MariaDB [(none)|> show databases; 


| information schema | 


| mysql | 


2 rows in set (0.01 sec) 

进入 到 mysql 数据 库 中 看 到 user 表单 了 : 

MariaDB [(none)]» use mysql 

Reading table information for completion of table and column names 
You can turn off this feature to get a quicker startup with -A 
Database changed 

MariaDB [mysql]» show tables; 


1 row in set (0.01 sec) 


切换 回 root 用 户 后 取消 刚刚 全 部 的 授权 : 


MariaDB [(none)]» revoke SELECT,UPDATE,DELETE,INSERT on mysql.user from luke@localhost; 


Query OK, 0 rows affected (0.00 sec) 
再 次 查看 luke 用 户 的 授权 : 
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MariaDB [(none)]&gt; show grants for luke@localhost; 


二 + 

| GRANT USAGE ON *.* TO Tuke'e' localhost IDENTIFIED BY 
PASSWORD '*55D9962586BE75FA4B7D421E6655973DB07D6869F | 
二 + 


1 row in set (0.00 sec) 
18.3.2 创建 数据 库 与 表单 
名 用 的 数据 库 表 单 管理 命令 有 : 


AR X 作用 

CREATE database 数据 库 名 称 。 创建 新 的 数据 库 。 
DESCRIBE 表单 名 称 ; di E. 

UPDATE 表单 名 称 SET attribute= 新 值 WHERE attribute > 原始 值 ; 更 新 表单 中 的 数据 。 

USE 数据 库 名 称 ; 指定 使 用 的 数据 库 。 
SHOW databases; 显示 当前 已 有 的 数据 库 。 
SHOW tables; 显示 当前 数据 库 中 的 表单 。 
SELECT * FROM 表单 名 称 ; 从 表单 中 选中 某 个 记录 值 。 
DELETE FROM 表单 名 WHERE attribute= 值 ; 从 表单 中 删除 某 个 记录 值 。 


创建 一 个 新 的 数据 库 : 

MariaDB [(none)]» create database linuxprobe; 
Query OK, 1 row affected (0.00 sec) 

查看 当前 已 有 的 数据 库 : 


MariaDB [(none)|> show databases; 


| information schema | 
| linuxprobe | 

| mysql | 

| performance_schema | 


4 rows in set (0.04 sec) 
切换 到 指定 的 数据 库 : 
MariaDB [(none)]» use linuxprobe; 


Database changed 
创建 新 的 数据 库 表 单 : 
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MariaDB [linuxprobe]> create table mybook (name char(15),price int,pages int); 
Query OK, 0 rows affected (0.16 sec) 
查看 表单 的 结构 描述 : 
MariaDB [linuxprobe|» describe mybook; 


+------- +---------- +------+-----+--------- +------- + 
| Field | Type | Null | Key | Default | Extra | 
+------- +---------- +------+-----+--------- +------- + 

| name | char(15) | YES | | NULL | | 
| price | int(11) | YES | | NULL | | 

| pages | int(11) | YES | | NULL | | 
+------- +---------- +------+-----+--------- +------- + 


3 rows in set (0.02 sec) 


18.3.3 管理 表单 数据 

向 表单 内 插入 新 的 书籍 数据 : 

MariaDB [linuxprobe|» INSERT INTO mybook(name,price,pages) VALUES(linuxprobe’, 60,518); 
Query OK, 1 row affected (0.00 sec) 

查看 表单 中 的 数据 值 : 


MariaDB [linuxprobe|» select * from mybook; 


+------------ +------- +------- + 
| name | price | pages | 
+------------ +------- +------- + 
| linuxprobe | 60| 518 | 
+------------ +------- +------- + 


1 rows in set (0.01 sec) 

将 价格 修改 为 55 元 : 

MariaDB [linuxprobe|» update mybook set price-55 ; 
Query OK, 1 row affected (0.00 sec) 

Rows matched: 1 Changed: 1 Warnings: O 

只 看 书籍 的 名 字 和 价格 : 


MariaDB [linuxprobel> select name,price from mybook; 


+------------ +------- + 
| name | price | 
+------------ +------- + 


| linuxprobe | 59 | 

十 ------------ 十 ------- 十 

1 row in set (0.00 sec) 

删除 书籍 表单 中 的 内 容 : 

MariaDB [linuxprobe|» delete from mybook; 
Query OK, 1 row affected (0.01 sec) 
MariaDB [linuxprobe|» select * from mybook; 
Empty set (0.00 sec) 


连续 加 入 4 条 书籍 记录 值 : 
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MariaDB [linuxprobe|» INSERT INTO mybook(name,price,pages) VALUES(Ulinuxprobe1 ,30 ,518); 
Query OK, 1 row affected (0.05 sec) 
MariaDB [linuxprobe|» INSERT INTO mybook(name,price,pages) VALUES(linuxprobe2',50',518); 
Query OK, 1 row affected (0.05 sec) 
MariaDB [linuxprobe|» INSERT INTO mybook(name,price,pages) VALUES(linuxprobe3',80,518); 
Query OK, 1 row affected (0.01 sec) 
MariaDB [linuxprobe|» INSERT INTO mybook(name,price,pages) VALUES(linuxprobe4', 100,518); 
Query OK, 1 row affected (0.00 sec) 
where 命令 用 于 在 数据 库 匹 配 查询 的 条 件 ， 可 用 的 条 件 有 : 


参数 作用 
相等 。 
<> 或 != 不 相等 。 
> 人 
有 deie 
>= AN ET. 
<= VN 
BETWEEN 在 某 个 范围 内 。 
LIKE 人 
IN 在 列 中 搜索 多 个 值 。 
查看 价格 大 于 75 元 的 书籍 : 
MariaDB [linuxprobe|» select * from mybook where price>75; 
+------------- +------- +------- + 
| name | price | pages | 
+------------- +------- +------- + 


| linuxprobe3 | 80| 518| 

| linuxprobe4 | 100| 518 | 

十 ------------- 十 ------- +------- + 

2 rows in set (0.06 sec) 

搜索 价格 不 等 于 80 元 的 书籍 : 

MariaDB [linuxprobe|» select * from mybook where price!-80; 
| name | price | pages | 

| linuxprobe1 | 30 | 518 | 

| linuxprobe2 | 50 | 518 | 

| linuxprobe4 | 100 | 518 | 


3 rows in set (0.01 sec) 


18.3.4 数据 库 的 备份 与 恢复 
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mysqldump 命令 用 于 备份 数据 库 数 据 ， 格 式 为 : “mysqldump [参数 ] [数据 库 名 称 ]” 


参数 作用 

u 数据 库 的 用 户 名 称 。 

p 密码 提示 符 。 

-no-data 至 备份 数据 库 的 描述 结构 ， 而 不 要 数据 。 
-lock-all-tables 备份 完成 后 将 不 再 多 许 修改 数据 。 


将 书籍 数据 库 文件 ( 即 linuxprobe) 导出 到 家 目录 : 

[root@linuxprobe ~|# mysqldump -u root -p linuxprobe > /root/linuxprobeDB.dump 
Enter password: 

删除 书籍 数据 库 : 

MariaDB [linuxprobe|» drop database linuxprobe; 

Query OK, 1 row affected (0.04 sec) 


MariaDB [(none)]|» show databases; 


| information schema | 


| mysql | 
| performance. schema | 


3 rows in set (0.02 sec) 

创建 一 个 空 的 数据 库 : 

MariaDB [(none)]» create database linuxprobe; 

Query OK, 1 row affected (0.00 sec) 

导入 刚刚 备份 的 数据 库 : 

[root@linuxprobe ~|# mysql -u root -p linuxprobe < /root/linuxprobeDB.dump 
Enter password: 

果然 又 看 到 了 刚刚 创建 的 mybook 表单 : 

[root@linuxprobe ~|# mysql -u root -p 

MariaDB [(none)]» use linuxprobe; 

Reading table information for completion of table and column names 
You can turn off this feature to get a quicker startup with -A 
Database changed 


MariaDB [linuxprobe|» show tables; 


| mybook | 


1 row in set (0.05 sec) 
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第 19 章 使 用 PXE+Kickstart 部 署 无 人 值守 安装 。 
章节 概述 : 
本 章 市 将 教会 您 通过 PXE+DHCP+TFTP+VSftpd+Kickstart 服务 程序 搭建 出 无 人 值守 安装 系统 ， 从 而 批量 部 署 客户 机 系统 。 
这 种 系统 能 够 实现 自动 化 运 维 、 避 免 了 重复 性 丈 动 ， 帮 助 提升 工作 效率 ， 对 于 和 运 维 人 员 真 的 是 太 有 帮助 了 。 


19.1 无 人 值守 系统 

坦白 来 讲 ， 使 用 光盘 或 U 盘 这 种 传统 物理 方式 安 闭 系统 效率 真 的 很 低 ， 尤 其 当 需 要 批量 部 署 系统 时 更 是 明显 。 

一 般 的 机 房 设 备 都 会 在 数 百 台 以 上 ,即便 购买 了 数 百 张 系 统 光 盘 ， 那 您 也 必需 对 每 台 设 备 初始 化 安装 向 导 ， 免 不 了 会 
有 选 错 的 参数 ， 更 何况 如 此 多 的 设备 没有 几 天 肯定 装 不 完 吧 。 

其 实 我 们 可 以 用 PXE+DHCP+TFTP+VSftpd+Kickstart 部 署 出 无 人 值守 安装 系统 ， 这 种 系统 能 够 实现 自动 化 运 维 、 
避免 了 重复 性 劳动 ， 帮 助 提升 工作 效率 ， 对 于 DHCP 已 经 是 咱们 学 习 过 的 了 ， 所 以 这 里 就 不 再 多 说 ， 小 伙伴 们 如 果 
尽 记 了 可 以 翻 去 前 面 章 市 复习 下 。 


dt EgE 2 cH 


SN 


统 
PXE(Preboot execute environment) 是 一 种 能 够 让 计算 机 通过 网 络 启 动 的 引导 方式 ， 只 要 网 卡 支持 PXE 协议 即 可 使 用 。 
Kickstart 是 一 种 无 人 值守 的 安装 方式 ， 工 作 原 理 就 是 预先 把 原本 需要 运 维 人 员 手 工 填 写 的 参数 保存 成 一 个 ks.cfg X 
件 ， 当 安装 过 程 中 出 现 需要 填写 参数 时 则 自动 匹配 Kickstart 生成 的 文件 ， 所 以 只 要 Kickstart 文件 包含 了 安装 过 程 中 
所 有 需要 人 工 填写 的 和 参数， 那么 运 维 人 员 就 完全 不 需要 干预 ， 等 待 安装 完 毕 即 可 。 

简单 文本 传输 协议 TFTP(Trivial File Transfer Protocol) 是 一 种 基于 UDP 协议 的 传输 协议 , 其 与 前 面 学 习 的 vsftpd AR 
务 程序 的 FTP 协议 有 很 大 不 同 ，TFTP 协议 不 具备 FTP 的 许多 功能 (例如 列 出 目录 ， 密 码 认证 等 等 )， 但 TFTP 协议 
配置 非常 简单 ， 而 且 资 源 消耗 更 低 ， 非 常 适 合 传输 不 敏感 的 文件 。 





19.2 部 署 相 关 服 务 程序 
咱们 需要 依次 部 署 DHCP、TFTP、SYSLinux、VSFtpd 与 Kickstart 服务 ， 在 这 之 前 请 先 准备 两 全 虚拟 机 并 配置 好 网 卡 参 数 : 


主机 名 称 操作 系统 IP 地 址 
无 人 值守 系统 红 帆 RHEL7 操作 系统 192.168.10.10 
X P3 未 安装 操作 系统 


并 确保 您 的 虚拟 机 软件 自 带 DHCP 服务 功能 已 经 关闭 : 


Voritaton com m oc 一 dc 


Em meus) MED wd o dv ? CIBC JE 















| 添 各 网 络 人 E)… | | 移 险 网络 fo) | 

Vus stola de LE in HR Psp) 
HAET: 自动 
NAT f&isk (ii HE ELR E 0800 

9 保 主 机 模式 (在 土 用 网 络 内 连接 虚拟 机 MH) 

缠 持 主机 讲 拟 迁 配 器 连接 到 灶 阿 结 仿 ) 

| 主机 由 JB EAD: ware FERAIS Mnet 

| A IP {ih HLOD 





SEBSEAVERLR) Gej Gma 
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19.2.1 配置 DHCP 服务 程序 
安装 dhcpd 服务 程序 : 
[root@linuxprobe ~|# yum install dhcp 


Loaded plugins: langpacks, product-id, subscription-manager 


Installing: 

dhcp x86 64 12:4.2.5-27.el7 rhel7 506 k 
——— E 2r USE E E cete 
Complete! 


配置 dhcpd 服务 程序 (将 下 面 的 内 容 复 制 进去 即 可 ， 具 体 参 数 食 义 请 回顾 dhcpd 服务 章节 ) : 
[root@linuxprobe ~|# vim /etc/dhcp/dhcpd.conf 
allow booting; 
allow bootp; 
ddns-update-style interim; 
ignore client-updates; 
subnet 192.168.10.0 netmask 255.255.255.0 1 
option subnet-mask 295.299:299.0; 
option domain-name-servers 192.168.10.10; 
range dynamic-bootp 192.168.10.100 192.168.10.200; 


default-lease-time 21600; 
max-lease-time 43200; 
next-server 192.168.10.10; 
filename "pxelinux.O"; 


j 

重启 dhcpd 服务 并 添加 到 开机 启动 项 : 

[root@linuxprobe ~|# systemctl restart dhcpd 

[root&linuxprobe ~|# systemctl enable dhcpd 

In -s /usr/lib/systemd/system/dhcpd.service' /etc/systemd/system/multi-user.target.wants/dhcpd.service 
添加 防火 墙 对 dhcpd 服务 允许 的 规则 : 

[rootelinuxprobe ~|# firewall-cmd --permanent --add-service-dhcp 
Success 

[rootelinuxprobe ~|# firewall-cmd --reload 

Success 

19.2.2 配置 TFTP 服务 程序 

安装 tftp 服务 程序 : 

[root@linuxprobe ~|# yum install tftp-server 


Loaded plugins: langpacks, product-id, subscription-manager 


Installing: 
tftp-server x86. 64 5.2-1 1.el7 rhel7 44 k 
EE EE Au EEE E 


Complete! 
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分 析 vsftpd 服务 程序 时 发 现 ，FTP 服务 器 为 了 随时 能 够 回应 客户 端的 请 求 必 需 运 行 一 个 长 期 驻扎 在 系统 中 的 守护 进 
程 ， 但 这 样 也 意味 着 会 有 一 定 的 资源 浪费 ， 网 络 守护 进程 服务 程序 xinetd 便 是 为 了 解决 资源 浪费 问题 而 设计 的 ， 因 
为 xinetd 服务 程序 会 同时 监听 多 个 系统 端口 , 依据 客户 端 请 求 的 端口 再 转发 给 指定 的 服务 程序 , 而 tftp 便 是 由 xinetd 
服务 程序 来 管理 的 。 

编辑 xinetd 配置 文件 ， 启 动 TFTP 服务 程序 : 

[root@linuxprobe ~.dj# vim /etc/xinetd.d/tftp 

// 将 disable 的 值 修改 为 no。 


service tftp 


l 
socket type - dgram 
protocol - udp 
wait - yes 
user - root 
server - /usr/sbin/in.tftpd 
server args = -s /var/lib/tftpboot 
disable - no 
per. source =11 
cps = 1002 
flags = [Pv4 


重启 xinetd 服务 并 添加 到 开机 启动 项 中 : 

[root@linuxprobe xinetd.d|# Systemctl restart xinetd 
[root@linuxprobe xinetd.d|# systemctl enable xinetd 

添加 防火 墙 对 tftp 服务 允许 的 规则 : 

[rootelinuxprobe ~|# firewall-cmd --permanent --add-port-69/udp 
SUCCeSS 

[rootelinuxprobe ~|# firewall-cmd --reload 

SUCCESS 

19.2.3 配置 SYSLinux 服务 程序 

syslinux 是 用 于 提供 引导 加 载 的 服务 程序 ， 目 的 是 简化 安装 Linux 系统 的 时 间 ， 安 装 syslinux 服务 程序 : 
[rootelinuxprobe ~|# yum install syslinux 


Loaded plugins: langpacks, product-id, subscription-manager 


Installing: 

syslinux x86 64 4.05-8.el7 rhel7 1.0M 
TR dr uS POESIE nee 
Complete! 


将 引导 相关 文件 复制 到 tftp 目录 以 供 客户 端 下 载 〈 请 确保 光盘 镜像 已 挂 载 到 /media/cdromy) : 
[rootelinuxprobe ~|# cd /var/lib/tftpboot 

[root@linuxprobe tftpboot|# cp /usr/share/syslinux/pxelinux.O . 

[root@linuxprobe tftpboot|4 cp /media/cdrom/images/pxeboot/(vmlinuz initrd.img] . 
[root&linuxprobe tftpboot]4 cp /media/cdrom/isolinux/lvesamenu.c32,*.msg] . 

将 引 寻 模板 文件 复制 tftp 目录 : 

[root&linuxprobe tftpboot|# mkdir pxelinux.cfg 
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[root@linuxprobe tftpboot|# cp /media/cdrom/isolinux/isolinux.cfg pxelinux.cfg/default 

编辑 引导 模板 文件 : 

[root&linuxprobe tftpboot|# vim pxelinux.cfg/default 

// 将 第 1 行 修改 为 : 

default linux 

// 将 第 64 行 修改 为 : 

append initrd-initrd.img inst.stage2-ftp:;//192.168.10.10 ks-ftp;//192.168.10.10/pub/ks.cfg quiet 
// 将 第 TO 行 修 改 为 : 

append initrd-initrd.img inst.stage2-ftp:;//192.168.10.10 rd.live.check ks-ftp://192.168.10.10/pub/ks.cfg quiet 
19.2.4 配置 VSFtpd 服务 程序 

安装 vsftpd 服务 程序 : 

[root@linuxprobe ~|# yum install vsftpd 


Loaded plugins: langpacks, product-id, subscription-manager 


Installing: 
vsftpd x86_64 3.0.2-9.el7 rhel7 166 
k 
uA DE. Au EEE E 
Complete! 


重启 vsftpd 服务 程序 并 添加 到 开机 居 动 项 : 
[root@linuxprobe ~|# systemctl restart vsftpd 
[root@linuxprobe ~|# systemctl enable vsftpd 
In -s /usr/lib/systemd/system/vsftpd.service' /etc/systemd/system/multi-user.target.wants/vsftpd.service' 
添加 防火 墙 对 vsftpd 服务 允许 的 规则 : 
[rootelinuxprobe ~|# firewall-cmd --permanent --add-service-ftp 
SUCCeSS 
[rootelinuxprobe ~|# firewall-cmd --reload 
SUCCeSS 
将 光盘 镜像 文件 的 内 容 复制 到 FTP 目录 中 《请 先 确 保 和 您 的 光盘 已 经 挂 载 到 /media/cdrom 目录 ): 
[rootelinuxprobe ~|# cp -r /media/cdrom/* /var/ftp 
设置 SELinux 对 于 FTP 协议 的 允许 策略 : 
[root@linuxprobe ~|# setsebool -P ftpd connect. all unreserved-on 
19.2.4 创建 KickStart 应 签 文件 
复制 一 份 应 答 文 件 模板 并 给 于 权限 : 
[root@linuxprobe ~|# cp ~/anaconda-ks.cfg /var/ftp/pub/ks.cfg 
[root@linuxprobe ~|# chmod +r /var/ftp/pub/ks.cfg 
编辑 模板 文件 : 
[root@linuxprobe ~|# vim /var/ftp/pub/ks.cfg 
// 将 第 6 行 的 cdrom 修改 为 : 
url --url=ftp://192.168.10.10 
// 将 第 21 行 的 时 区 修改 为 : 
timezone Asia/Shanghai --isUtc 
// 将 第 28 行 修改 为 : 


clearpart --all - initlabel 
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19.3 自动 部 署 客 户 机 
当 我 们 部 署 好 了 无 人 值守 系统 后 ， 就 可 以 新 增 一 台 虚 拟 机 来 验证 啦 : 
第 1 步 : 运行 新 建 虚拟 机 向 导 。 第 2 步 : 创建 一 个 空白 硬盘 。 
masmas O wi&enWm 707777777777 巴 


安装 客户 机 操作 系统 
虚拟 机 如 同 物理 机 ， 需 要 操作 系统 。 您 将 如 何 安装 客户 机 操作 系统 ? 


ow 








欢迎 使 用 新 建 虚 拟 机 向 导 


安装 来 源 : 
O 安装 程序 光盘 (D): 
Á} DVD RW 驱动 器 (D:) 


您 希望 使 用 什么 类 型 的 配置 ? 
9 a 
ee Workstation 11.0 


o 





VMWARE 

WORKSTATION O BiseXSRCC) 
AERA SCSI jpa Eae 
Ema VMware 产品 兼容 性 等 高 级 选项 


(o 安装 程序 光盘 映像 交 件 (is0}(M): 
FS S ÜCENRHEL-server-7.0-x86. 64-LinuxProbe.Com.isc 浏览 (R)... 


© 稍 后 安装 操作 系统 (5)。 
创建 的 虚拟 机 将 包含 一 个 空白 硬盘 。 














< 上 一 步 (B) | | 下 一 步 (N) > 


< 上 一 步 (B) | 上 = 点 由 


第 3 步 : 选择 虚拟 机 系统 。 第 4 步 : 填写 系统 名 称 与 虚拟 机 你 存 路 径 。 


Waa TT 


选择 客户 机 操作 系统 命名 虚拟 机 
此 虚拟 机 中 将 安装 哪 种 操作 系统 ? 您 要 为 此 虚拟 机 使 用 什么 名 称 ? 








客户 机 操作 系统 getan esi (v): 

© Microsoft Windows(W) | RHEL7(pxe+kickstart) 
@ Linux(L) 
© Novell NetWare(E) 位 置 (L): 
© Solaris(S) - 
© VMware ESX(X) 
O 其 他 (D) 在 编辑 ”> 首选 项 中 可 更 改 默 认 位 置 。 


WV) 


Red Hat Enterprise Linux 6 64 位 a 





FA VmwareWorkStationMLinuxProbe 























《Linux ILI XX ZA SE) 
第 5 步 : 创建 硬盘 设备 〈 默 认 大 小 即 可 )。 


新 建 庶 拟 机 向 导 















指定 磁盘 容量 
磁盘 大 小 为 多 少 ? 


虚拟 机 的 硬盘 作为 一 个 或 多 个 文件 存 铺 在 主机 的 物理 磁盘 中 。 六 些 文 件 最 初 很 
小 ， 随 着 您 向 虚拟 机 中 添加 应 用 程序 、 文 件 和 数据 而 逐 靳 变 太 。 


最 太 磁 盘 太 小 (GBJ(5): 20.0 $ 
针对 Red Hat Enterprise Linux 6 64 位 的 建议 大 小 : 20 GB 





将 虚拟 磁盘 存 铺 为 单个 文件 (D) 


o 将 虚拟 磁盘 拆 分 成 条 个 文件 (M) 
拆 分 磁盘 后 ， 可 以 更 轻 格 地 在 计算 机 之 间 称 动 虚拟 机 ， 但 可 能 会 降 休 大 容量 磁盘 的 


性 能 。 

















[e EE) | | 


取消 














当 开 局 客 尸 端 虚 拟 机 电源 后 ， 会 自动 化 的 进行 部 署 系统 : 


Press the key to begin the installation process. 


7.096057] sd 5:0:0:0: [sda] Assuming drive cache: write through 
[m 


[ 
[ 7.0970821 sd 5:0:0:0: [sdal fissuming driue cache: write through 
[ 7.0976311 sd 5:0:0:0: [sdal fissuming driue cache: urite through 
l ] Started Show Plymouth Boot Screen. 

[ ] Reached target Paths. 

1 ] Reached target Basic System. 

dracut-initqueue[9051: RTNETLINK ansuers: File exists 


dracut-initqueue[9051: 7 Total 
dracut-initqueue[905] : 


100 1073 100 1073 


dracut-initqueue[905 ] : 
dracut-initqueue[905 ] : 
dracut-initqueue[905 ] : 


100 2166 100 2166 


dracut-initqueue[905] : 
dracut-initqueue[905 ] : 


100 259M 100 259M 


dracut-initqueue[905]1 : 
dracut-initqueue[905 ] : 


0 0 0 0 


dracut-initqueue[905]: 
dracut-initqueue[905] : 
dracut-initqueue[905 ] : 
dracut-initqueue[905 1: 


0 0 0 0 


dracut-initqueue[905] : 
dracut-initqueue[905] : 






CONFIGURATION 


Dload Upload Total 

0 0 1057 0 
parse-kickstart ERROR: 
X Total 
Dload Upload Total 

0 0 2133 0 
z Total 
Dload Upload Total 

0 0 19.7M 0 
X Total 
Dload Upload Total 


X Received 7 


ZX Received 7 


X Received 7 


^ Received 7 Xferd fiverage Speed Tine Tine Time Current 


Spent Left Speed 
0:00:01 0:00:01 —-:--:-- 1058:--:-- --:--:-—- 0 


'netuork --hostname-linuxprobe.com': missing —-deuice 


Xferd fiverage Speed Time Time Time Current 
Spent Left Speed 
0:00:01 90:00:01 —--:--:-- 2136:--:——- 一 :一 一 :一 一 0 
Xferd fiverage Speed Time Time Time Current 
Spent Left Speed 
0:00:13 0:00:13 --:--: 26.1M: -一 一 : 0 
Xferd fiverage Speed Tine i Time Current 
Spent Left Speed 


0 0 0 9 —:--:— 89:00:01 一 :一 :一 
curl: (78) RETR response: 
Warning: Dounloading 'ftp://192.168.10.10/7cdrom/images/updates.img' failed! 


X Total 
Dload Upload Total 
0 0 0 


ð 一 一 :一 一 :一 一 


ZX Received 7 Xferd huerage Speed Time Time Time Current 


Spent Left Speed 
- Q:--:-- ——:--:—- 0 


curl: (78) RETR response: 

Warning: Downloading 'ftp://192.168.10.10/cdrom/images/product.img' failed! 
Started dracut initqueue hook. 
Starting dracut pre-mount hook... 
Started dracut pre-mount hook. 
Reached target Initrd Root File System. 

Starting Reload Configuration from the Real Root... 
Started Reload Configuration from the Real Root. 


耐心 的 等 竺 安装 中 : 


USER SETTINGS 


«ug, 'edhat 





RED HAT ENTERPRISE LINUX 7.9 INSTALLATION 
Bu 


[  USERCREATION 


Cu No user wall be created 





MANAGE MORE. STRESS LESS. 
RED HAT SATELLITE 
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第 6 步 : 选择 自 定义 硬件 ， 将 网 卡 的 类 型 修改 为 与 无 


人 值守 系统 一 致 ( 此 步 又 省 略 )。 





新 建 庶 拟 机 向 导 
















已 准备 好 创建 虚拟 机 
单 击 "完成 “他 建 虚拟 机 。 然 后 可 以 安装 Red Hat Enterprise Linux 6 64 位 。 


将 使 用 下 列 设 置 创建 虚拟 机 : 


| 名 称 : RHEL7(pxe+kickstart) 
| 位 置 : F:\VmwareWorkStation\LinuxProbe 


Workstation 11.0 
Red Hat Enterprise Linux 6 64 位 


版 本 : 
| 操作 系统 : 


| BE: 20 GB, 拆 分 

内 存 : 2048 MB 

| 网 络 适配器 : NAT 

| 其 他 设备 : CD/DVD, USE 控制 器 , 打印 机 , 声卡 








自 定义 硬件 (C).… 

















取消 


[< E(B) | | 











第 255 页 


(Linux 就 该 这 么 学 》 HTTP://www.linuxprobe.com 


第 20 章 使 用 LNMP 架构 部 署 动态 网 站 环境 。 
章节 概述 : 
本 章节 将 从 Linux 系统 的 软件 安装 方式 讲 起 ， 带 领 读者 分 辩 RPM 软件 包 与 源码 安装 的 区 别 、 并 能 够 理解 它们 的 优 缺 点 。 
Nginx 是 一 款 相当 优秀 的 用 于 部 署 动态 网 站 的 服务 程序 ，Nginx 具有 不 错 的 稳定 性 、 丰 富 的 功能 以 及 占用 较 少 的 系统 资源 等 独特 特性 。 
通过 部 团 Linux+Nginx+MYSQL+PHP 这 四 种 开源 软件 ， 便 拥有 了 一 个 免费 、 高 效 、 扩 展 性 强 、 资 源 消耗 低 的 LNMP 25 4 PLSEARAA T. 
20.1 源码 安装 程序 
在 前 面 的 章节 中 提 到 过 在 红 帽 软件 包 管 理 器 (RPMO 公布 之 前 要 想 在 Linux 系统 中 安装 软件 只 能 采取 “源码 包 ” 的 
方式 安装 服务 程序 但 是 源码 安装 程序 真是 一 件 非常 困难 ， 耗 费 耐 心 的 事情 ， 不 仅 需 要 运 维 人 员 掌 握 更 多 的 知识 、 高 
超 的 技能 、 甚 至 要 很 有 耐心 才能 安装 好 一 个 程序 ， 并 且 在 安装 、 升 级 、 仓 载 时 还 要 考虑 到 其 他 程序 、 库 的 依赖 关系 ， 
所 以 我 们 在 前 面 的 课程 中 都 依赖 于 YUM 仓库 或 RPM GR ERI ARE, dEXUREAS AUR — Ee ROS. 


很 多 软件 产品 只 会 以 源码 包 的 方式 发 布 , 如 果 只 会 用 RPM 命令 就 只 能 去 互联 网 大 海洋 中 慢 慢 寻 
找到 由 第 三 方 组 织 或 器 客 们 编写 的 RPM 软件 包 后 才能 安装 程序 了 ， 并 且 源 码 程序 的 可 移植 性 
非常 好 ， 可 以 针对 不 同 的 系统 架构 而 正确 运行 ， 但 RPM 软件 包 则 必需 严格 符合 限制 使 用 的 平 
合 和 架构 后 才能 顺利 安装 , 所 以 建议 即便 在 工作 中 可 以 很 舒服 的 用 Yum 仓库 来 安装 服务 程序 ， 
源码 安装 的 流程 也 一 定 要 记 清 : 





第 1 步 ， 解 压 文件 : 

源码 包 通 常会 使 用 tar 工具 归档 然后 用 gunzip 或 bzip2 Xtf£T/& 48, 后缀 格式 会 分 别 为 tar.8gz 与 tar.bz2 ， 解 压 方 法 : 
[root@linuxprobe ~|# tar czvf FileName.tar.gz 

[root&linuxprobe ~|# tar jxvf FileName.tar.bz2 

第 2 步 ， 切 换 到 解压 后 的 目录 : 

[rootelinuxprobe ~|# cd FileDirectory 

第 3 步 : 准备 编译 工作 : 

在 开始 安装 服务 程序 之 前 ， 需 要 执行 configure 脚本 ， 他 会 自动 的 对 当前 系统 进行 一 系列 的 评估 ， 如 源 文 件 、 软 件 依 
赖 性 库 、 编 译 器 、 汇 编 器 、 连 接 器 检查 等 等 ， 如 果 有 需求 ， 还 可 以 使 用 - prefix 参数 来 指定 程序 的 安装 路 径 〈 很 实 
用 )， 而 当 脚 本 检查 系统 环境 符合 要 求 后 ， 则 会 在 当前 目录 下 生成 一 个 Makefile X ft. 

[root@linuxprobe ~|# ./configure - prefix-/usr/local/program 

第 4 步 : 生成 安装 程序 : 

刚刚 生成 的 Makefile 文件 会 保存 有 系统 环境 依赖 关系 和 安装 规则 , 接 下 来 需要 使 用 make 命令 来 根据 MakeFile 文件 
提供 的 规则 使 用 合适 的 SHELL 来 编译 所 有 依赖 的 源码 ， 然 后 make 命令 会 生成 一 个 最 终 可 执行 的 安装 程序 。 
[root@linuxprobe ~|# make 

第 5 步 : 安装 服务 程序 : 

如 果 在 configure 脚本 阶段 中 没有 使 用 - prefix 参数 ， 那 么 程序 一 般 会 被 默认 安装 到 /usr/local/bin 目录 中 。 
[root@linuxprobe ~|# make install 

第 6 步 : 清理 临时 文件 (可 选 ): 

[root@linuxprobe ~|# make clean 

缉 载 服务 程序 的 命令 (请 不 要 随便 执行 !!1): 

[root@linuxprobe ~|# make uninstall 

其 实 读者 可 能 最 纳闷 的 是 漫长 的 configure 与 make 步骤 ，RPM 包 为 什么 就 可 以 那么 有 效率 的 安装 ， 而 不 需要 检测 
系统 环境 呢 ? 

其 实 原 因 很 简单 ，RPM 软件 包 是 根据 特定 系统 和 平台 而 指定 的 ， 经 常 一 种 程序 会 提供 很 多 RPM 包 的 格式 〈 如 
i386/x86 64 等 等 )， 用 户 需 要 找到 适合 当前 自己 系统 的 RPM 包 后 才能 顺利 的 安装 ， 而 源码 包 的 程序 作者 肯定 希望 
自己 的 软件 能 够 被 安装 到 更 多 的 系统 中 ,被 更 多 的 用 户 使 用 ， 所 以 就 必需 要 用 configure 脚本 来 检查 用 户 当 前 系统 的 
情况 ， 最 终 制 定 出 一 份 可 行 的 安装 方案 。 


b) LAM! 
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20.2 部 署 LNMP 架构 
LNMP (Hi Linux+Nginx+MYSQL+PHP) 是 目前 非常 热门 的 动态 网 站 部 署 架 构 ， 一 般 是 指 : 


T. 
TOX IAN: 


Linux: 恕 RHEL, Centos, Debian, Fedora, Ubuntu 等 系统 。 
Nginx: 高 性 能 、 低 消耗 的 HTTP 与 反 向 代理 服务 程序 。 
MYSQL: 热 门 常 用 的 数据 库 管 理 软件 。 

PHP: 一 种 能 够 在 服务 器 端 执行 的 葡 入 HTML 文档 的 脚本 语言 。 





通过 将 这 四 种 开源 软件 部 署 在 一 起 ， 便 成 为 了 一 个 免费 、 高 效 、 扩 展 性 强 、 资 源 消耗 低 的 动态 网 站 环境 了 。 


设置 防火 墙 允许 数据 库 与 网 站 服务 策略 : 

[root@linuxprobe ~|# iptables -F 

[root@linuxprobe ~|# firewall-cmd --permanent --add-service=mysd] 

success 

[root@linuxprobe ~|# firewall-cmd --permanent --add-service-http 

success 

[root@linuxprobe ~|# firewall-cmd --reload 

success 

下 载 所 有 需要 使 用 的 软件 包 到 /usr/local/src 目录 (17 个 文件 ): 

[root@linuxprobe ~|# cd /usr/local/src 

[root@linuxprobe src|# wget http://www.linuxprobe.com/Tools/cmake-2.8.1 1.2.tar.gz 
[root&linuxprobe src] wget http://www.linuxprobe.com/Tools/Discuz_X3.2_SC_GBK.zip 
[root&linuxprobe src] wget http://www.linuxprobe.com/Tools/freetype-2.5.3.tar.gz 
[root&linuxprobe src] wget http://www.linuxprobe.com/Tools/jpegsrc.v9a.tar.gz 
[root&linuxprobe src|# wget http://www.linuxprobe.com/Tools/libgd-2.1.0.tar.gz 
[root&linuxprobe src|# wget http://www.linuxprobe.com/Tools/libmcrypt-2.5.8.tar.gz 
[root&linuxprobe src] wget http://www.linuxprobe.com/Tools/libpng-1.6.12.tar.gz 
[root&linuxprobe src|# wget http://www.linuxprobe.com/Tools/libvpx-v1.3.0.tar.bz2 
[root&linuxprobe src] wget http://www.linuxprobe.com/Tools/mysql-5.6.19.tar.gz 
[root&linuxprobe src|# wget http://www.linuxprobe.com/Tools/nginx-1.6.0.tar.gz 
[root&linuxprobe src|# wget http://www.linuxprobe.com/Tools/openssl-1.O.1h.tar.gz 
[root&linuxprobe src|# wget http://www.linuxprobe.com/Tools/php-5.5.1 4.tar.gz 
[root&linuxprobe src|# wget http://www.linuxprobe.com/Tools/pcre-8.35.tar.gz 
[root&linuxprobe src] wget http://www.linuxprobe.com/Tools/t1lib-5.1.2.tar.gz 
[root&linuxprobe src|# wget http://www.linuxprobe.com/Tools/tiff-4.0.3.tar.gz 
[root&linuxprobe src|# wget http://www.linuxprobe.com/Tools/yasm-1.2.0.tar.gz 


[root&linuxprobe src] wget http://www.linuxprobe.com/Tools/zlib-1.2.8.tar.gz 
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安装 编译 工具 及 库 文件 (需要 安装 的 程序 比较 多 ， 请 复制 全 !): 


[root@linuxprobe ~|# yum install -y apr* autoconf automake bison bzip2 bzip2* compat* cpp curl curl-devel 
fontconfig fontconfig-devel freetype freetype* freetype-devel gcc gcc-c4 gd gettext gettext-devel glibc 
kernel kernel-headers keyutils keyutils-libs-devel krb5-devel libcom err-devel libpng libpng-devel libjpeg* 
libsepol-devel libselinux-devel libstdc--«-devel libtool* libgomp libxml2 libxml2-devel libXpm* libtiff libtiff* 
make mpfr ncurses* ntp openssl openssl-devel patch pcre-devel perl php-common php-gd policycoreutils 
telnet tllib t1lib* nasm nasm* wget zlib-devel 

Loaded plugins: langpacks, product-id, subscription-manager 


This system is not registered to Red Hat Subscription Management. You can use subscription-manager to register. 


Complete! 

安装 cmake 编译 工具 (解压 与 编译 过 程 已 省 略 ): 

[root@linuxprobe ~|# cd /usr/local/src 

[root&linuxprobe src|# ls 

zlib-1.2.8.tar.gz libmcrypt-2.5.8.tar.gz pcre-8.35.tar.gz 
cmake-2.8.11.2.tar.gz libpng-1.6.12.tar.gz php-5.5.14.tar.gz 
Discuz X3.2 SC GBKzip libvpx-v1.3.0.tar.bz2 +t1lib-5.1.2.tar.gz 
freetype-2.5.3.taregz | mysql-5.6.19.tar.gz tiff-4.0.3.tar.gz 
jpegsrc.v9a.tar.gz nginx-1.6.0.tar.gz yasm-1.2.0.tar.gz 
libgd-2.1.0.tar.gz openssl-1.0.1h.tar.gz 

[root&linuxprobe Src|# tar xzvf cmake-2.8.1 1.2.tar.gz 
[rootelinuxprobe src|# cd cmake-2.8.1 1.2/ 

[root&linuxprobe cmake-2.8.1 1.2] /configure 

[rootelinuxprobe cmake-2.8.1 1.2]: make 

[rootelinuxprobe cmake-2.8.1 1.2] make install 

20.2.1 配置 Mysql 服务 

在 前 面 的 章节 中 我 们 学 习 了 MariaDB 数据 库 管 理 系统 ， 那 么 这 次 实验 就 学 习 下 如 何 使 用 Mysql 来 管理 数据 库 吧 。 
创建 用 于 执行 mysql 服务 程序 的 帐号 : 

[root@linuxprobe cmake-2.8.11.2|# cd /usr/local/src 
[root@linuxprobe src|# useradd mysql -s /sbin/nologin 

创建 数据 库 程序 和 文件 的 目录 ， 并 设置 目录 的 所 属 与 所 组 : 
[root@linuxprobe src|# mkdir -p /usr/local/mysql/var 
[rootelinuxprobe src|# chown -Rf mysql:mysgql /usr/local/mysql/var 
Zr Mysql 服务 程序 〈 解 压 与 编译 过 程 已 省 略 ) 

[root&linuxprobe src] £ tar xzvf mysql-5.6. 19.tar.gz 
[root&linuxprobe src] £ cd mysql-5.6.19/ 

[root&elinuxprobe mysql-5.6.19] # cmake -DCMAKE INSTALL PREFIX-/usr/local/mysgql - 
DMYSQL DATADIR-/var/local/mysql/var -DSYSCONFDIR-/etc 
删除 系统 默认 的 配置 文件 : 

[root@linuxprobe mysql-5.6.19]# rm -rf /etc/my.cnf 
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生成 系统 数据 库 (生成 信息 已 省 略 ): 
[root@linuxprobe mysql-5.6.19]£ cd /usr/local/mysql/ 
[root@linuxprobe  mysqlļ#  ./scripts/mysgL install db --user=mysgl ^ -basedir-/usr/local/mysql  -- 
datadir-/usr/local/mysql/var 
[rootelinuxprobe mysql] # make 
[rootelinuxprobe mysql] # make install 
创建 配置 文件 的 软 连接 文件 : 
[rootelinuxprobe mysql]* In -s /usr/local/mysql/my.cnf /etc/my.cnf 
将 mysqld 服务 程序 添加 到 开机 启动 项 : 
[root@linuxprobe mysql|# cp ./support-files/mysql.server /etc/rc.d/init.d/mysqld 
[root@linuxprobe mysql|# chmod 755 /etc/init.d/mysqld 
[rootelinuxprobe mysql|# chkconfig mysqld on 
编辑 启动 项 的 配置 文件 : 
[root@linuxprobe mysql]|* vim /etc/rc.d/init.d/mysqld 
// 分 别 修改 第 46 5 47 41, basedir 为 程序 安装 路 径 ，datadir 为 数据 库存 放 目 录 。 
basedir-/usr/local/mysql 
datadir-/usr/local/mysql/var 
重启 mysqld 服务 程序 : 
[root@linuxprobe mysqgl|# Systemctl restart mysqld 
把 mysql 服务 程序 命令 目录 添加 到 环境 变量 中 (永久 生效 ): 
[root@linuxprobe mysql]|* vim /etc/profile 
// 在 配置 文件 的 最 下 面 追加 : 
export PATH-SPATH:/usr/local/mysql/bin 
[root&linuxprobe mysql] * source /etc/profile 
将 mysqld 服务 程序 的 库 文件 链接 到 默认 的 位 置 : 
[rootelinuxprobe mysql|# mkdir /var/lib/mysql 
[rootelinuxprobe mysql] In -s /usr/local/mysgql/lib/mysql /usr/lib/mysql 
[root&linuxprobe mysql|# In -s /usr/local/mysql/include/mysql /usr/include/mysql 
[rootelinuxprobe mysql|# In -s /tmp/mysql.sock /var/lib/mysql/mysql.sock 
初始 化 mysqld 服务 程序 : 
[root@linuxprobe mysql] * mysql secure installation 
NOTE: RUNNING ALL PARTS OF THIS SCRIPT IS RECOMMENDED FOR ALL MySQL 
SERVERS IN PRODUCTION USE! | PLEASE READ EACH STEP CAREFULLY! 
In order to log into MySQL to secure it, we'll need the current 
password for the root user. If you've just installed MySQL, and 
you haven't set the root password yet, the password will be blank, 
so you should just press enter here. 
Enter current password for root (enter for none): 
OK, successfully used password, moving on... 
setting the root password ensures that nobody can log into the MySQL 
root user without the proper authorisation. 
Set root password? [Y/n] y 
New password: 输入 要 为 root 用 户 设置 的 数据 库 密码 。 
Re-enter new password: 重复 再 输入 一 次 密码 。 
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Password updated successfully! 
Reloading privilege tables.. 
... ouccess! 
By default, a MySQL installation has an anonymous user, allowing anyone 
to log into MySQL without having to have a user account created for 
them. This is intended only for testing, and to make the installation 
go a bit smoother. You should remove them before moving into a 
production environment. 
Remove anonymous users? [Y/n] y (期 除 匿名 帐号 ) 
... 9UCCeSS| 
Normally, root should only be allowed to connect from localhost. This 
ensures that someone cannot guess at the root password from the network. 
Disallow root login remotely? [Y/n] y(&& iE. root 用 户 从 远程 登陆 ) 
... ouccess! 
By default, MySQL comes with a database named test that anyone can 
access. This is also intended only for testing, and should be removed 
before moving into a production environment. 
Remove test database and access to it? [Y/n] y (W KR test 数据 库 并 取消 对 其 的 访问 权限 ) 
- Dropping test database... 
... ouccess! 
- Removing privileges on test database... 


... Success! 


Reloading the privilege tables will ensure that all changes made so far 


will take effect immediately. 


Reload privilege tables now? [Y/n] y( 刷 新 授权 表 ， 让 初始 化 后 的 设 定 立即 生效 ) 
... 9uccess! 

All done! If you've completed all of the above steps, your MySQL 

installation should now be secure. 

Thanks for using MySQL! 

Cleaning up... 

20.2.2 配置 Nginx 服务 

Nginx 是 一 款 相当 优秀 的 用 于 部 署 动态 网 站 的 服务 

程序 ， Nginx 最 初 是 为 俄罗斯 门户 站 点 而 设计 的 网 

站 服务 软件 ， 作 为 作为 一 款 轻 量 级 的 网 站 服务 软 

件 ， 因 其 稳定 性 和 丰富 的 功能 而 深 受 信赖 ， 但 最 最 

最 被 认可 的 是 低 系 统 资源 、 占 用 内 存 少 且 并 发 能 力 

强 ， 目 前 国内 恕 新浪、 网易、 腾讯 等 门户 站 均 在 使 用 ， 市 场 占有 份额 一 直 保 持 在 15-16% 左 右 。 

Nginx 程序 的 稳定 性 来 自 于 它 采 用 了 分 阶段 的 资源 分 配 技术 ， 使 得 CPU 与 内 存 占用 率 会 非常 低 ， 所 以 使 用 Nginx 程 

序 部 署 动态 网 站 环境 不 仅 十 分 的 稳定 、 高 效 ， 而 且 消 耗 更 少 的 系统 资源 ， 丰 富 的 模块 功能 也 几乎 与 Apache 程序 数 

量 相 同 ， 现 在 已 经 完全 的 支持 了 proxy. rewrite, mod fcgi. ssl vhosts 等 常用 模块 。 而 且 还 支持 了 热 部 署 技 术 ， 

即 能 够 可 以 7*24 不 间断 提供 服务 ， 即 便 运行 数 月 也 无 须 重启 ， 而 且 还 可 以 在 不 暂停 服务 的 情况 下 直接 对 Nginx 服 

务 程序 进行 升级 。 


APACHE 


HTTP SERVER 
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坦白 来 讲 ， 虽 然 Nginx 程序 的 代码 质量 非常 高 ， 代 码 很 规范 ， 技 术 成 熟 ， 模 块 扩 展 也 很 容易 ， 但 Nginx 依然 存在 不 
少 间 题 , 比如 Nginx 是 由 俄罗斯 人 创建 的 , 所 以 在 资料 文档 方面 还 并 不 完善 , 中 文教 材 的 质量 更 是 鱼龙混杂 , 但 Nginx 
近年 来 增长 势头 迅猛 ， 预 测 未 来 应 该 能 够 在 轻 量 级 HTTP 服务 器 市 场 有 不 错 的 未 来 。 
安装 PCRE (Perl 兼容 的 正则 表达 式 库 ， 解 压 与 编译 过 程 已 省 略 ): 
[root@linuxprobe ~|# cd /usr/local/src 
[root@linuxprobe src|4 mkdir /usr/local/pcre 
[root&linuxprobe src|# tar xzvf pcre-8.35.tar.gz 
[root&elinuxprobe pcre-8.35]* ./configure -prefix-/usr/local/pcre 
[root&linuxprobe src|£ make 
[root&linuxprobe src|£ make install 
安装 openssl 服务 程序 〈 解 压 与 编译 过 程 已 省 略 ) : 
[rootelinuxprobe pcre-8.35]* cd /usr/local/src 
[rootelinuxprobe src|4 mkdir /usr/local/openssl 
[root&linuxprobe src|# tar xzvf openssl-1.0.1h.tar.gz 
[root&linuxprobe src]f cd pcre-8.35/ 
[rootelinuxprobe pcre-8.35]* ./configure -prefix-/usr/local/openssl 
[rootelinuxprobe pcre-8.35|# make 
[rootelinuxprobe pcre-8.35]|* make install 
把 openssl. 服务 程序 命令 目录 添加 到 环境 变量 中 (永久 生效 ): 
[rootelinuxprobe pcre-8.35]* vim /etc/profile 
// 将 配置 文件 最 下 面 的 参数 追加 参数 为 : 
export PATH=$PATH:/usr/local/mysql/bin:/usr/local/openssl/bin 
[rootelinuxprobe pcre-8.35|# source /etc/profile 
安装 zlib 数据 压缩 函数 库 (解压 与 编译 过 程 已 省 略 ): 
[root@linuxprobe pcre-8.35|# cd /usr/local/src 
[root@linuxprobe src|4 mkdir /usr/local/zlib 
[root&linuxprobe src|# tar xzvf zlib-1.2.8.tar.gz 
[root&linuxprobe zlib-1.2.8]4 ./configure --prefix-/usr/local/zlib 
[root&linuxprobe zlib-1.2.8]£ make 
[root&linuxprobe zlib-1.2.8]* make install 
创建 用 于 执行 nginx 服务 的 用 户 : 
[root&linuxprobe zlib-1.2.8|# cd /usr/local/src 
[root@linuxprobe src|# useradd www -s /sbin/nologin 
安装 nginx 服务 程序 (openssl,zlib,pcre 要 写成 源码 解压 路 径 110) : 
[rootelinuxprobe src|# tar xzvf nginx-1.6.0.tar.gz 
[root&linuxprobe src|# cd nginx-1.6.0/ 
[rootelinuxprobe nginx-1.6.0]* ./configure --prefix-/usr/local/nginx --without-http memcached module --user-www -- 
group-www -with-http stub status module . -with-http ssl module ^ -with-http gzip static module ^ --with- 
openssl-/usr/local/src/openssl-1.0.1h --with-zlib-/usr/local/src/zlib-1.2.8 --with-pcre-/usr/local/src/pcre-8.35 
[rootelinuxprobe nginx-1.6.0] make 


[root&linuxprobe nginx-1.6.0]4 make install 
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创建 nginx 程序 脚本 〈 将 下 面 的 参数 直接 复制 进去 即 可 ) : 
[root@linuxprobe nginx-1.6.0|# vim /etc/rc.d/init.d/nginx 
#!/bin/bash 
# nginx - this script starts and stops the nginx daemon 
# chkconfig: - 85 15 
# description: Nginx is an HTTP(S) server, HTTP(S) reverse ^ 
# proxy and IMAP/POP3 proxy server 
# processname: nginx 
* config: /etc/nginx/nginx.conf 
* config: /usr/local/nginx/conf/nginx.conf 
# pidfile: /usr/local/nginx/logs/nginx.pid 
# Source function library. 
. /etc/rc.d/init.d/functions 
# Source networking configuration. 
. /etc/sysconfig/network 
* Check that networking is up. 
| SNETWORKING' = "no" | && exit 0 
nginx-"/usr/local/nginx/sbin/nginx" 
prog=$ (basename $nginx) 
NGINX. CONF FILE- /usr/local/nginx/conf/nginx.conf" 
| -f /etc/sysconfig/nginx | && . /etc/sysconfig/nginx 
lockfilez/var/lock/subsys/nginx 
make. dirs() { 
* make required directories 
user-'$nginx -V 2>&1 | grep "configure arguments:' | sed s/[|^*]*—-user-N([^ J^).*/ 1/g -' 
让 | -z "grep $user /etc/passwd" |; then 
useradd -M -s /bin/nologin $user 
fi 
options- $nginx -V 2>&1 | grep configure arguments: 
for opt in $options; do 
if | echo $opt | grep '.*-temp-path" [; then 
value-'echo $opt | cut -d "=" -f 2 
if | ! -d "$value" |; then 
# echo "creating" $value 
mkdir -p $value && chown -R $user $value 
fi 
fi 
done 
j 
start() { 
| -x $nginx | || exit 5 
| -f $NGINX. CONF. FILE ] || exit 6 
make dirs 


echo -n $'Starting $prog: ' 


(Linux LZ XX AA 5$) 
daemon $nginx -c $NGINX CONF FILE 
retval-$? 
echo 
| $retval -eq O ] && touch $lockfile 
return $retval 
j 
stop) { 
echo -n $'Stopping $prog: ' 
killproc $prog -QUIT 
retval-$? 
echo 
| $retval -eq O | && rm -f $lockfile 
return $retval 
} 
restart() { 

#configtest || return $? 
stop 
sleep 1 
start 
} 
reload() { 
#configtest || return $? 
echo -n $"Reloading $prog: ' 
killproc $nginx -HUP 
RETVAL-$? 
echo 
} 
force_reload() { 
restart 
} 
configtest() 1 
$nginx -t -c $NGINX CONF FILE 
} 
rh_status() { 
status $prog 
} 
rh_status_q0 { 
rh. status »/dev/null 2>&1 
} 
case "$1" in 
start) 
rh, status q && exit 0 
$1 
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stop) 
rh status q || exit O 
$1 


restart |configtest) 


$1 


reload) 
rh status q || exit 7 
$1 


force-reload) 


force reload 


status) 


rh status 


condrestart|try-restart) 


rh status q || exit O 


*) 

echo $"Usage: $0 [start|stop|status restart |condrestart |try-restart | reload |force-reload |configtest]" 
exit 2 

esac 

[root&linuxprobe nginx-1.6.0]: chmod 755 /etc/rc.d/init.d/nginx 

重启 nginx 服务 程序 并 添加 到 开机 启动 项 : 

[root@linuxprobe nginx-1.6.0|# /etc/rc.d/init.d/nginx restart 

Restarting nginx (via systemctl): | OK |] 

[rootelinuxprobe nginx-1.6.0]* chkconfig nginx on 

此 时 可 以 通过 访问 了 一 来 判断 nginx 服务 是 否 顺利 运行 : 


| @ = o9 c lo] Le le) 


C [D 192.168.10.10 B, c^ 





Welcome to nginx! 


If you see this page, the nginx web server is successfully installed and 
working. Further configuration is required. 


For online documentation and support please refer to nginx.org. 
Commercial support is available at nginx.com. 


Thank you for using nginx. 


20.2.3 配置 php 服务 

安装 yasm Ciar 〈 解 压 与 编译 过 程 已 省 略 ) : 
[root@linuxprobe nginx-1.6.0|# cd /usr/local/src 
[root@linuxprobe src|# tar zxvf yasm-1.2.0.tar.gz 
[root&linuxprobe src] cd yasm-1.2.0 


[root&linuxprobe yasm-1.2.0]* ./configure 


第 264 页 
(Linux 就 该 这 么 学 》 HTTP://www.linuxprobe.com 
[root@linuxprobe yasm-1.2.0|# make 
[root@linuxprobe yasm-1.2.0|# make install 
安装 libmcrypt 加 密 算法 扩展 库 (解压 与 编译 过 程 已 省 略 ): 
[root@linuxprobe yasm-1.2.0|# cd /usr/local/src 
[root@linuxprobe src|# tar zxvf libmcrypt-2.5.8.tar.gz 
[root&linuxprobe src|# cd libmcrypt-2.5.8 
[root&linuxprobe libmcrypt-2.5.8]ft /configure 
[root&linuxprobe libmcrypt-2.5.8]£ make 
[root&linuxprobe libmcrypt-2.5.8]4 make install 
3C libvpx II fd 〈 解 压 与 编译 过 程 已 省 略 ) : 
[root@linuxprobe libmcrypt-2.5.8]# cd /usr/local/src 
[root@linuxprobe src|# tar xjvf libvpx-v1.3.0.tar.bz2 
[rootelinuxprobe src|# cd libvpx-v1.3.0 
[root&linuxprobe libvpx-v1.3.0]£ ./configure -prefix-/usr/local/libvpx --enable-shared --enable-vp9 
[rootelinuxprobe libvpx-v1.3.0] f make 
[root&linuxprobe libvpx-v1.3.0]* make install 
XC Tiff 标签 图 像 文件 格式 (解压 与 编译 过 程 已 省 略 ): 
[root@linuxprobe libvpx-v1.3.0]* cd /usr/local/src 
[root@linuxprobe src|# tar zxvf tiff-4.0.3.tar.gz 
[rootelinuxprobe src]|4 cd tiff-4.0.3 
[root&linuxprobe tiff-4.0.3]# ./configure --prefix-/usr/local/tiff --enable-shared 
[rootelinuxprobe tiff-4.0.3] make 
[rootelinuxprobe tiff-4.0.3] make install 
安装 libpng E (png 格式 ) 函数 库 (解压 与 编译 过 程 已 省 略 ): 
[root@linuxprobe tiff-4.0.3]# cd /usr/local/src 
[root@linuxprobe src|# tar zxvf libpng-1.6.12.tar.gz 
[root@linuxprobe src|# cd libpng-1.6.12 
[root@linuxprobe libpng-1.6.12|# ./configure --prefix=/usr/local/libpng --enable-shared 
[root&linuxprobe libpng-1.6.12|# make 
[root&linuxprobe libpng-1.6.12]4 make install 
3C freetype 字体 引擎 〈 解 压 与 编译 过 程 已 省略 ) : 
[root&linuxprobe libpng-1.6.12]s cd /usr/local/src 
[root&linuxprobe src|# tar zxvf freetype-2.5.3.tar.gz 
[root&linuxprobe src|# cd freetype-2.5.3 
[root&linuxprobe freetype-2.5.3]st /configure -prefix-/usr/local/freetype --enable-shared 
[root&linuxprobe freetype-2.5.3]st make 
[root&linuxprobe freetype-2.5.3]* make install 
安装 libpng E peg 格式 ) 函数 库 〈 解 压 与 编译 过 程 已 省 略 ) : 
[root@linuxprobe freetype-2.5.3|# cd /usr/local/src 
[root&linuxprobe src|# tar zxvf jpegsrc.v9a.tar.gz 
[root&linuxprobe src|# cd jpeg-9a 
[root&linuxprobe jpeg-9a]* ./configure --prefix-/usr/local/jpeg --enable-shared 
[root&linuxprobe jpeg-9al# make 
[root&linuxprobe jpeg-9al# make install 
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3X libgd 图 像 处 理 程序 (解压 与 编译 过 程 已 省 略 ): 
[root@linuxprobe jpeg-9al# cd /usr/local/src 
[root@linuxprobe src|# tar zxvf libgd-2.1.0.tar.gz 
[root&linuxprobe src]|£ cd libgd-2.1.0 
[root&linuxprobe libgd-2.1.0]4* ./configure --prefix-/usr/local/libgd --enable-shared --with-jpeg-/usr/local/jpeg -- 
with-png-/usr/local/libpng — --with-freetype-/usr/local/freetype —--with-fontconfig-/usr/local/freetype  --with- 
xpm-/usr/ --with-tiffz/usr/local/tiff --with-vpx-/usr/local/libvpx 
[root&linuxprobe libgd-2.1.0|£ make 
[root&linuxprobe libgd-2.1.0|# make install 
安装 tllib 图 片 生成 函数 库 (解压 与 编译 过 程 已 省 略 ): 
[root@linuxprobe cd libgd-2.1.0|# cd /usr/local/src 
[root&linuxprobe src|# tar zxvf t1lib-5.1.2.tar.gz 
[rootelinuxprobe src|# cd t11ib-5.1.2 
[root&linuxprobe t11ib-5.1.2]4 ./configure --prefix-/usr/local/t1lib --enable-shared 
[rootelinuxprobe t11ib-5.1.2] t make 
[rootelinuxprobe t11ib-5.1.2]£ make install 
将 函数 库 文 件 放 至 合适 的 位 置 : 
[rootelinuxprobe t11ib-5.1.2]* cd /usr/local/src 
[rootelinuxprobe src]|4 In -s /usr/lib64/libltdl.so /usr/lib/libltdl.so 
[root&linuxprobe src|# cp -frp /usr/lib64/libXpm.so* /usr/lib/ 
SCR php 服务 程序 〈 命 令 比 较 长 ， 请 一 定 要 复制 完整 1 : 
[root@linuxprobe src|# tar -zvxf php-5.5.14.tar.gz 





[root@linuxprobe src|# cd php-5.5.14 

[root@linuxprobe php-5.5.14]£ export LD LIBRARY PATH-/usr/local/libgd/lib 

[root&linuxprobe php-5.5.14]4 configure -prefix-/usr/local/php --with-config-file-path-/usr/local/php/etc --with- 
mysql-/usr/local/mysql --with-mysgli-/usr/local/mysql/bin/mysql config --with-mysql-sock-/tmp/mysql.sock -- 
with-pdo-mysql-/usr/local/mysql -with-gd --with-png-dir-/usr/local/libpng --with-jpeg-dir-/usr/local/jpeg --with- 
freetype-dir-/usr/local/freetype --with-xpm-dir-/usr/ --with-vpx-dir-/usr/local/libvpx/ --with-zlib-dir-/usr/local/zlib 
-with-tllibz/usr/local/tllib --with-iconv --enable-libxml --enable-xml --enable-bcmath --enable-shmop --enable- 
sysvsem --enable-inline-optimization --enable-opcache --enable-mbregex --enable-fpm --enable-mbstring --enable-ftp -- 
enable-gd-native-ttf --with-openssl --enable-pcntl --enable-sockets --with-xmlrpc --enable-zip --enable-soap --without- 
pear --with-gettext --enable-session --with-mcrypt --with-curl --enable-ctype 

[rootelinuxprobe php-5.5.14]£ make 

[rootelinuxprobe php-5.5.14]f£ make install 

复制 php 服务 程序 的 配置 文件 到 安装 目录 : 

[root@linuxprobe php-5.5.14]* cp php.ini-production /usr/local/php/etc/php.ini 

删除 默认 的 php 配置 文件 : 

[root@linuxprobe php-5.5.14]4 rm -rf /etc/php.ini 

创建 php 配置 文件 的 软 连接 到 /etc/ 目 录 中 : 

[root@linuxprobe php-5.5.14]|£ cp /usr/local/php/etc/php-fpm.conf.default /usr/local/php/etc/php-fpm.conf 
[rootelinuxprobe php-5.5.14]7 In -s /usr/local/php/etc/php-fpm.conf /etc/php-fpm.conf 

[rootelinuxprobe php-5.5.14]7 In -s /usr/local/php/etc/php.ini /etc/php.ini 

编辑 php 服务 程序 的 配置 文件 : 

[rootelinuxprobe php-5.5.14]* vim /usr/local/php/etc/php-fpm.conf 
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// 将 第 25 行 参数 前 面 的 分 号 去 挥 。 
pid = run/php-fpm.pid 
// 修 改 第 148 和 149 行 ， 将 user 与 group 修改 为 www。 
user = WWW 
group = WWW 
添加 php-fpm 服务 程序 到 开机 启动 项 : 
[root@linuxprobe php-5.5.14|# cp sapi/fpm/init.d.php-fpm /etc/rc.d/init.d/php-fpm 
[root@linuxprobe php-5.5.14|# chmod +x /etc/rc.d/init.d/php-fpm 
[root@linuxprobe php-5.5.14]4 chkconfig php-fpm on 
为 了 保障 网 站 的 安全 性 ， 茜 用 看 不 安全 的 功能 : 
[root@linuxprobe php-5.5.14]# vim /usr/local/php/etc/php.ini 
// 修 改 第 305 行 的 disable functions 参数 ， 追 加 参数 为 : 
disable_functions = 
passthru,exec,system,chroot,scandir,chgrp,chown,shell exec,proc open,proc get statusjni alterni alterini resto 
re,dl,openlog,syslog,readlink,symlink,popepassthru,stream socket. server,escapeshellcmd,dllpopen,disk free spa 
ce,checkdnsrr,checkdnsrr,getservbyname,getservbyport,disk total space,posix ctermid,posix get last error,posix 
 getcwd,posix getegid,posix geteuid,posix getgid,posix getgrgid,posix getgrnam,posix getgroups,posix getlogin 
,posix. getpgid,posix getpgrp,posix getpid,posix getppid,posix getpwnam,posix getpwuid,posix getrlimit;posix g 
etsid,posix getuid,posix isatty,posix kill,posix mkfifo,posix setegid,posix seteuid,posix setgid,posix setpgid,posi 
x setsid,posix setuid,posix strerror,posix times,posix ttyname,posix uname 
配置 nginx 服务 程序 支持 php: 
[root@linuxprobe php-5.5.14]s vim /usr/local/nginx/conf/nginx.conf 
// 将 第 2 RTL E E HEU user www WWW ; 
// 将 第 44 行 参 数 修改 为 index index.html index.htm index.php; 
// 将 第 64-71 行 前 面 的 # 号 去 掉 ， 修 改 为 : 
location ~ \.php$ { 

root html; 

fastcgi_pass 127.0.0.1:9000; 

fastcgi index index.php; 

fastcgi param | SCRIPT. FILENAME $document root$fastcgi script name; 

include fastcgi params; 

j 
重启 nginx 5 php-fpm 服务 程序 : 
[root@linuxprobe php-5.5.14]4 Systemctl restart nginx 
[root&linuxprobe php-5.5.14]4 systemctl restart php-fpm 
20.3 搭建 discuz 论坛 
将 discuz 论坛 数据 放 至 网 站 目录 (解压 过 程 已 省 略 ) : 
[root@linuxprobe ~ |* cd /usr/local/src/ 
[rootelinuxprobe src|4 unzip Discuz X3.2 SC GBK zip 
[root&linuxprobe src|# rm -rf /usr/local/nginx/html/tindex.html,5Ox.htmlj 
[root&linuxprobe src|£ mv upload/* /usr/local/nginx/html/ 
[root&linuxprobe src|# chown -Rf www:www /usr/local/nginx/html 


[root&linuxprobe src|# chmod -Rf 755 /usr/local/nginx/html 


v 
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第 21 章 使 用 Git 分 布 式 版 本 控制 系统 。 


21.1 分 布 式 版 本 控制 系统 


我 想 大 家 还 记得 前 面 章节 中 谈 到 过 Linus torvalds 在 1991 年 时 发 布 了 Linux 操作 系统 吧 ， 从 那 以 后 Linux 系统 变 
不 断 发 展 壮大 ， 因 为 Linus 系统 开源 的 特性 ， 所 以 一 直接 受 着 来 自 全 球 Linux 技术 爱好 者 的 贡献 ， 志 愿 者 们 通过 邮 
件 向 Linus 发 送 着 自己 编写 的 源 代 码 文 件 ， 然 后 由 Linus 本 人 通过 手工 的 方式 将 代码 合并 ， 但 这 样 不 仅 没 有 效率 ， 
而 且 真 的 是 太 痛 次 了 。 

一 直到 2002 年 ，Linux 系统 经 过 十 余年 的 不 断 发 展 ， 代 码 库 已 经 庞大 到 无 法 再 让 Linus 通过 手工 的 方式 管理 了 ， 
但 是 Linus 真 的 很 不 喜欢 CVS 或 者 Subversion 版 本 控制 系统 ， 于 是 商业 公司 BitMover 决定 将 其 公司 的 BitKeeper 
分 布 式 版 本 控制 系统 授权 给 Linux 开发 社区 来 免费 使 用 ， 当 时 的 BitKeeper 可 以 比较 文件 内 容 的 不 同 ， 还 能 够 将 出 
错 的 文档 还 原 到 历史 某 个 状态 ，Linus 终于 放下 了 心里 的 石头 。 


版 本 控制 服务 器 
版 本 数据 库 
5 —L— 


( Version Z 
Em eg 
Version 


L 用 户 本 地 计算 机 6 














“用 户 本 地 计算 机 A 





| BAAREN 
E 


版 本 数据 库 





























分 布 式 版 本 控制 流程 图 ， 原 稿 。 


CVS fu Subversion 属于 传统 的 版 本 控制 系统 ， 而 分 布 式 版 本 控制 系统 最 大 的 特点 是 不 需要 每 次 提交 都 把 文件 推送 
到 版 本 控制 服务 器 ， 而 是 采用 分 布 式 版 本 库 的 机 制 ， 使 得 每 个 开发 人 员 都 够 从 服务 器 中 克隆 一 份 完整 的 版 本 库 到 自 
己 计 算 机 本 地 ， 不 必 再 完全 依赖 于 版 本 控制 服务 发 ， 使 得 源 代 码 的 发 布 和 合并 更 加 方便 ， 并 且 因 为 数据 都 在 自己 本 
地 ， 不 仅 效 率 提高 了 ， 而 且 即 便 我 们 离开 了 网 络 依然 可 以 执行 提交 文件 、 查 看 历史 版 本 记录 、 创 建 分 支 等 等 操作 ， 
真 的 是 开发 者 的 福音 啊 。 


就 这 样 平静 的 度 过 了 三 年 时 间 ， 但 是 Linux 社区 聚集 着 太 多 的 黑客 人 物 ，2005 年 时 ， 那 位 曾经 开发 Samba 服务 程 
序 的 Andrew 因为 试图 破解 BitKeeper 软件 协议 而 激怒 了 BitMover 公司 ， 当 即 决定 不 再 向 Linux 社区 提供 免费 的 软 
件 授 权 了 ， 此 时 的 Linus 其 实 也 早已 有 自己 编写 分 布 式 版 本 控制 系统 的 打算 了 ， 于 是 便 用 C 语言 创建 了 Cit 分布 式 


版 本 控制 系统 ， 并 上 传 了 Linux 系统 的 源 代 码 。 
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Git 不 仅 是 一 款 开源 的 分 布 式 版 本 控制 系统 ， 而 且 有 其 独特 的 功能 特性 ， 例 如 大 多 数 的 分 布 式 版 本 控制 系统 只 会 记 
录 每 次 文件 的 变化 ， 说 白 了 就 是 只 会 关心 文件 的 内 容 变 化 差异 ， 而 Git 则 是 关注 于 文件 数据 整体 的 变化 ， 直 接 会 将 
文件 提交 时 的 数据 保存 成 快照 ， 而 非 仅 记录 差异 内 容 ， 并 且 使 用 SHA-1 加 密 算法 保证 数据 的 完整 性 。 


Git 为 了 提高 效率 ， 对 于 没有 被 修改 的 文件 ， 则 不 会 重复 存储 ， 而 是 创建 一 个 链接 指向 之 前 存储 过 的 文件 。 





其 实 从 发 明 计 算 机 至 今 ， 编 写 文 档 工作 早已 融入 到 每 个 人 的 生活 之 中 ， 但 为 了 完成 一 篇 好 文章 ， 


Git 提交 流程 图 ， 原 稿 。 





修改 ， 而 入 们 的 思维 如 此 活跃 ， 一 不 小 心 就 变 成 了 这 个 样子 : 


区 当 删 除了 一 段 废话 .docx | 


加 二 使 用 Git 分 布 式 版 本 控制 系统 - 副本 .docx 

加 站 使 用 Git 分 布 式 版 本 控制 系统 ,docx 

四 雪 使 用 Git 分 布 式 版 本 皖 制 竺 统 20151102 - 副本 .docx 
四 当 使 用 Git 分 布 式 版 本 皖 制 系统 20151105 - 副本 .docx 
加 站 使 用 Git 分 布 式 版 本 控制 对 统 -框架 修改 ,docx 





“RATI ERN 


无 意 中 就 创建 出 了 这 么 多 乱七八糟 的 文档 ， 但 是 那个 才 是 我 想 要 的 版 本 呢 ? MEARE E A EE DUBIE PT RET EUR 
茶 个 不 错 的 想法 ， 删 除 后 就 不 能 找 回 了 。 更 要 命 的 是 ， 有 些 章 市 还 需要 团队 一 起 编写 ， 于 是 需要 把 文件 传输 给 他 
们 ， 等 到 编写 后 再 传 回来 ， 最 后 由 我 逐条 对 照 差别 后 将 新 的 内 容 添加 进去 ， 这 样 真 的 是 太 麻 烦 了 ， 我 们 更 希望 看 到 


这 样 的 记录 吧 : 
编辑 
版 本 m P 
1 Ronny 
2 Dave 
3 Aaron 
4 Kim 


说 明 


创建 Git 章节 文档 


新 增 Git 命令 介绍 


新 增 Github 使 用 方法 


改正 文章 中 的 错别字 


日 其 


10/12 13:48 


上 


10/20 8:32 


TO OT 
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21.2 使 用 Git 服务 程序 


在 正式 使 用 前 ， 我 们 还 需要 和 弄 清 楚 Git 的 三 种 重要 模式 ， 分 别 是 已 提交 、 已 修改 和 已 暂 存 : 











已 提交 (committed): 表 示 数 据 文件 已 经 顺利 提交 到 Git 数据 库 中 。 
已 修改 (modified): 表 示 数 据 文件 已 经 被 修改 ， 但 未 被 保存 到 Git 数据 库 中 。 


已 暂 存 (staged): 表 示 数 据 文件 已 经 被 修改 ， 并 会 在 下 次 提交 时 提交 到 Git 数据 库 中 。 
提交 前 的 数据 文件 可 能 会 被 随意 修改 或 丢失 ， 但 只 要 把 文件 快照 顺利 提交 到 Git 数据 库 中 ， 那 就 可 以 完全 放心 了 ， 
流程 为 : 


1 .在 工作 目录 中 修改 数据 文件 。 
2. 将 文件 的 快照 放 入 暂 存 区 域 。 
3. 将 暂 存 区 域 的 文件 快照 提交 到 Git 仓库 中 。 


工作 目录 e fr Dos 


ard 


择 交 到 Git 服 务 器 





Git 的 工作 流程 图 ， 原 稿 。 
执行 yum 命令 来 安装 Git 服务 程序 : 


[root@linuxprobe ~|# yum install -y git 


Loaded plugins: langpacks, product-id, subscription-manager 


—— OR 
Installing: 
git x86_64 1.8.3.1-4.el7 rhel7 4.3 M 


Installing for dependencies: 


perl-Error noarch 1:0.17020-2.el7 rhel7 ook 
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perl-Git noarch 1.8.3.1-4.el7 rhel7 52 k 


perl-TermReadKey x86_64 2.30-20.el7 rhel7 SIS 


Complete! 


首次 安装 Git 服务 程序 后 需要 设置 下 用 户 名 称 、 邮 件 信 息 和 编辑 上 器， 这 些 信息 会 随 着 文件 每 次 都 提交 到 Git 数据 库 
中 ， 用 于 记录 提交 者 的 信息 ， 而 Git 服务 程序 的 配置 文档 通常 会 有 三 份 ， 针 对 当前 用 户 和 指定 仓库 的 配置 文件 优先 
级 最 高 : 


配置 文件 作用 

/etc/gitconfig 保存 着 系统 中 每 个 用 户 及 仓库 通用 配置 信息 。 
~/.gitconfig 针对 于 当前 用 户 的 配置 信息 。 
~/.config/git/config 

工作 目录 /.git/config 针对 于 当前 仓库 数据 的 配置 信息 。 


第 一 个 要 配置 的 是 你 个 人 的 用 户 名 称 和 电子 邮件 地 址 ， 这 两 条 配置 很 重要 ， 每 次 Git 提交 时 都 会 引用 这 两 条 信息 ， 
记录 是 谁 提交 了 文件 ， 并 且 会 随 更 新 内 容 一 起 被 永久 纳入 历史 记录 : 


[root@linuxprobe ~|# git config --global user.name "Liu Chuan" 


[rootelinuxprobe ~|# git config --global user.email "rootelinuxprobe.com" 


设置 vim 为 默认 的 文本 编辑 器 : 


[root@linuxprobe ~|# git config --global core.editor vim 


"B, NhmpEOE TRAN EE Git 工作 环境 信息 吧 : 


[rootelinuxprobe -]£ git config --ist 
user.name-Liu Chuan 
user.email-rootelinuxprobe.com 


core.editor-vim 


21.2.1 提交 数据 


我 们 可 以 简单 的 把 工作 目录 理解 成 是 一 个 被 Git 服务 程序 管理 的 目录 ，Git 会 时 刻 的 追踪 目录 内 文件 的 改动 ， 另 外 在 
ZRET Git 服务 程序 后 ， 默 认 就 会 创建 好 了 一 个 叫做 master 的 分 支 ， 我 们 直接 可 以 提交 数据 到 了 。 
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创建 本 地 的 工作 目录 : 


[root@linuxprobe -]£ mkdir linuxprobe 


[root&linuxprobe ~|# cd linuxprobe/ 
将 该 目录 转 初 始 化 成 Git 的 工作 目录 : 


[rootelinuxprobe linuxprobel# git init 


Initialized empty Git repository in /root/linuxprobe/ git/ 


Git 只 能 追踪 类 似 于 txt 文件 、 网 页 、 程 序 源码 等 文本 文件 的 内 容 变化 ， 而 不 能 判断 图 片 、 视 频 、 可 执行 命令 等 这 些 
二 进 制 文件 的 内 容 变化 ， 所 以 先 来 尝试 往 里 面 写 入 一 个 新 文件 吧 。 


[root@linuxprobe linuxprobeļ# echo "Initialization Git repository" > readme.txt 
KA XA In SUB EX : 
[root@linuxprobe linuxprobeļ# git add readme.txt 


工作 目录 Git 


暂行 区 


git add 
[2 readme.txt readme.txt 





添加 到 暂 存 区 后 再 次 修改 文件 的 内 容 : 
[root@linuxprobe linuxprobe|f echo "Something not important" >> readme.txt 
将 暂 存 区 的 文件 提交 到 Git 版 本 仓库 ， 命 令 格 式 为 “git commit -m “提交 说 明 ”: 


[root@linuxprobe linuxprobe|f git commit -m "add the readme file" 
[master (root-commit) fO91d8b] add the readme file 
1 file changed, 1 insertion (+) 


create mode 100644 readme.txt 
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E readme.txt 


readme.txt e readme.txt 





查看 当前 工作 目录 的 状态 〈 喷 ， 为 什么 文件 还 是 提示 被 修改 了 ? ) : 


[root@linuxprobe linuxprobe]|f git status 
* On branch master 
* Changes not staged for commit: 


* (use "git add ..' to update what will be committed) 


# (use "git checkout -- .." to discard changes in working directory) 
# 

# modified: readme.txt 

# 


no changes added to commit (use "git add" and/or "git commit -a") 
因为 提交 操作 只 是 将 文件 在 暂 存 区 中 的 快照 版 本 提交 到 Git 版 本 数据 库 ， 所 以 当 你 将 文件 添加 到 暂 存 区 后 ， 如 果 又 
对 文件 做 了 修改 ， 请 一 定 要 再 将 文件 添加 到 暂 存 区 后 提交 到 Git 版 本 数据 库 : 
第 一 次 修改 -> git add -> 第 二 次 修改 -> git add -> git commit 
查看 当前 文件 内 容 与 Git 版 本 数据 库 中 的 差别 : 
[root@linuxprobe linuxprobe|* git diff readme.txt 
diff -git a/readme.txt b/readme.txt 
index cb06697..33d16d0 100644 

-- a/readme.txt 
+++ b/readme.txt 
eo -] +1,2 090 

Initialization Git repository 


+Something not important 


那么 现在 把 文件 提交 到 Git 版 本 数据 库 吧 : 
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[root@linuxprobe linuxprobe|f git add readme.txt 
[rootelinuxprobe linuxprobe|f git commit -m "added a line of words" 
[master 346flab| add a line of words 


1 file changed, 1 insertion (+) 
再 来 查看 下 当前 Git 版 本 仓库 的 状态 : 


[root@linuxprobe linuxprobe|f git status 

* On branch master 

nothing to commit, working directory clean 

有 些 时 候 工 作 目 录 内 的 文件 会 比较 多 ， 懒 的 把 文件 一 个 个 提交 到 暂 存 区 ， 可 以 先 设置 下 要 忽略 上 传 的 文件 ( 写 入 
到 ”工作 目录 /.gitignore“ 文 件 中 ) ， 然 后 使 用 ”git add .” 命 令 来 将 当前 工作 目录 内 的 所 有 文件 都 一 起 添加 到 暂 存 
区 域 。 

// 忽 略 所 有 以 .a 为 后 缀 的 文件 。 

*a 

//18.3& lib.a 3X4 TEE b, TR S CE AC 

llib.a 

//f&8& build 目录 内 的 所 有 文件 。 

build/ 

//f&9& build 目录 内 以 txt 为 后 缀 的 文件 。 

build/*.txt 

// 指 定 忽 略 名 字 为 git.c 的 文件 。 


git.c 

先 在 工作 目录 中 创建 一 个 名 字 为 git.c 的 文件 : 
[root@linuxprobe linuxprobe]|f* touch git.c 
然后 创建 忽略 文件 列表 : 


[rootelinuxprobe linuxprobel# vim .gitignore 


git.c 


添加 将 当前 工作 目录 中 的 所 有 文件 快照 上 传 到 暂 存 区 : 
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[root@linuxprobe linuxprobel# git add . 

[rootelinuxprobe linuxprobe|f git commit -m "add the .gitignore file" 
[master c8dfed8] add the .gitignore file 

1 file changed, 1 insertion (+) 


create mode 100644 .gitignore 
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经 过 刚刚 的 实验 ， 大 家 一 定 发 现 “ 添 加 到 暂 存 区 ”真是 个 很 麻烦 的 步骤 ， 虽 然 使 用 暂 存 区 的 方式 可 以 让 提交 文件 更 
加 的 准确 ， 但 有 时 却 略 显 繁琐 ， 如 果 对 要 提交 的 文件 完全 有 把 握 ， 我 们 完全 可 以 追加 -a 参数 ， 这 样 Git 会 将 以 前 所 


有 追踪 过 的 文件 添加 到 暂 存 区 后 自动 的 提交 ， 从 而 跳 过 了 上 传 暂 存 区 的 步骤 ， 再 来 修改 下 文件 : 


[root@linuxprobe linuxprobe|f echo "Modified again" >> readme.txt 
文件 被 直接 提交 到 Git 数据 库 : 


[root@linuxprobe linuxprobe|f git commit -a -m "Modified again" 
[master 711d5cf| Modified again 
1 file changed, 1 insertion(«) 
[root&linuxprobe linuxprobe]|f git status 
* On branch master 


nothing to commit, working directory clean 

比如 想 把 git.c 也 提交 上 去 ， 便 可 以 这 样 强制 添加 文件 : 
[root@linuxprobe linuxprobe|f* git add -f git.c 
然后 重新 提交 一 次 《〈 即 修改 上 次 的 提交 操作 ) : 


[root@linuxprobe linuxprobe|j# git commit --amend 
Modified again 


# Please enter the commit message for your changes. Lines starting 


* with * will be ignored, and an empty message aborts the commit. 


* On branch master 

* Changes to be committed: 

# (use "git reset HEAD^1 .." to unstage) 
5 


# new file:  git.c 
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# modified: readme.txt 
# 
// 我 们 简单 浏览 下 提交 描述 ， 然 后 输入 :wd! 保 存 并 退出 。 
[master 7d8c026| Modified again 
2 files changed, 1 insertion(4) 


create mode 100644 git.c 


21.2.2 移 除 数据 


有 些 时 候 会 向 把 已 经 添加 到 暂 存 区 的 文件 移 除 ， 但 仍然 希望 文件 在 工作 目录 中 不 丢失 ， 换 名 话说 ， 就 是 把 文件 从 追 
踩 清单 中 删除 。 

先 添加 一 个 新 文件 ， 并 上 传 到 暂 存 区 : 

[root@linuxprobe linuxprobe|f touch database 


[rootelinuxprobe linuxprobe|f git add database 


查看 当前 的 Git 状态 : 


[root@linuxprobe linuxprobe]|f git status 
* On branch master 

* Changes to be committed: 

# (use "git reset HEAD ..' to unstage) 
5 

# new file: database 


# 


将 该 文件 从 Git 暂 存 区 域 的 追踪 列表 中 移 除 〈 并 不 会 删除 当前 工作 目录 内 的 数据 文件 ) : 


[root@linuxprobe linuxprobeļ# git rm --cached database 
rm database 
[rootelinuxprobe linuxprobel# ls 


database git.c readme.txt 


此 时 文件 已 经 是 未 追踪 状态 了 : 


[root@linuxprobe linuxprobe]|f git status 
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# On branch master 
# Untracked files: 
# (use "git add ..' to include in what will be committed) 
# 
# database 


nothing added to commit but untracked files present (use "git add" to track) 


而 如 果 我 们 向 将 文件 数据 从 Git 暂 存 区 和 工作 目录 中 一 起 删除 ， 可 以 这 样 操作 : 
f database 文件 提交 到 Git 暂 存 区 : 


[root@linuxprobe linuxprobeļ# git add . 


使 用 git rm 命令 可 以 直接 删除 暂 存 区 内 的 追踪 信息 及 工作 目录 内 的 数据 文件 : 


第 278 页 


但 如 果 在 删除 之 前 数据 文件 已 经 被 放 入 到 暂 存 区 域 的 话 ，Git 会 担心 你 勿 删 未 提交 的 文件 而 提示 报错 信息 ， 此 时 可 


追加 强制 删除 了 参数 。 


[root@linuxprobe linuxprobel# git rm -f database 
rm database 
[rootelinuxprobe linuxprobel# ls 


gitc readme.txt 


查看 当前 Git 的 状态 : 


[root@linuxprobe linuxprobe|f git status 
* On branch master 


nothing to commit, working directory clean 


21.2.3 移动 数据 


Git 不 像 其 他 版 本 控制 系统 那样 跟 踩 文件 的 移动 操作 ， 如 果 要 修改 文件 名 称 ， 则 需要 使 用 git mv 命令: 


[root@linuxprobe linuxprobel# git mv readme.txt introduction.txt 


发 现下 次 提交 时 会 有 一 个 改名 操作 : 


[root@linuxprobe linuxprobe]|f git status 
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# On branch master 
# Changes to be committed: 


# (use "git reset HEAD .." to unstage) 


F 

# renamed: readme.txt -> introduction.txt 
# 

提交 文件 到 Git 版 本 仓库 : 


[root@linuxprobe linuxprobe|f git commit -m "changed name" 
[master 76a7f52] changed name 
1 file changed, O insertions(+), O deletions() 


rename readme.txt => introduction.txt (100%) 
其 实 我 们 还 可 以 这 样 来 修改 文件 名 ， 首 先 将 工作 目录 下 的 数据 文件 改名 : 
[root@linuxprobe linuxprobe|f mv introduction.txt readme.txt 
然后 删除 Git 版 本 仓库 内 的 文件 快照: 


[root@linuxprobe linuxprobeļ# git rm introduction.txt 


rm introduction.txt 
最 后 再 将 新 的 文件 添加 进入 : 


[root@linuxprobe linuxprobe|f git add readme.txt 

[rootelinuxprobe linuxprobe]£& git commit -m "changed the file name again" 
[master 026055f| changed the file name again 

1 file changed, O insertions(+), O deletions() 


rename introduction.txt => readme.txt (100%) 


21.2.4 历史 记录 


在 完成 上 面 的 实验 后 ， 我 们 已 经 不 知 不 觉 有 了 很 多 次 的 提交 操作 了 ， 可 以 用 git log 命令 来 查看 提交 历史 记录 : 


[root@linuxprobe linuxprobel# git log 
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commit 026055f9a45bc83babc7efa54820914321bcOeal 
Author: Liu Chuan <root@linuxprobe.com> 

Date: Tue Dec 15 17:58:13 2015 +0800 

changed the file name again 

commit 76a7152538fa9bde09b646603d90dd948cfe80c4 
Author: Liu Chuan «rootelinuxprobe.com- 

Date: Tue Dec 15 17:53:11 2015 +0800 

changed name 

commit 7d8c026df1ce5eb27494c30104180ae3a82c80b6 
Author: Liu Chuan <root@linuxprobe.com> 

Date: Tue Dec 15 17:28:23 2015 +0800 

Modified again 

commit c8dfed8cac2174c482alaf601657a08b7dcc8950 
Author: Liu Chuan <root@linuxprobe.com> 

Date: Tue Dec 15 17:25:55 2015 +0800 

add the .gitignore file 

commit 346f1ab36ec532f649fbd573cd23a3229684b969 
Author: Liu Chuan «rootelinuxprobe.com» 

Date: Tue Dec 15 17:23:37 2015 +0800 

add a line of words 

commit f091d8bela94c8fecd6abc2fa31730fe2a7a8887 
Author: Liu Chuan <root@linuxprobe.com> 

Date: Tue Dec 15 17:22:07 2015 +0800 


add the readme file 
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像 上 面 直接 执行 git log 命令 后 会 看 到 所 有 的 更 新 记录 (按时 间 排 序 ， 最 近 更 新 的 会 在 上 面 ) ， 历 史记 录 会 除了 保存 
文件 快照 ， 还 会 详细 的 记录 着 文件 SHA-1 校 验 和 ， 作 者 的 姓名 ， 邮 箱 及 更 新 时 间 ， 如 果 只 想 看 最 近 几 条 记录 ， 可 以 


直接 这 样 操作 : 


[rootelinuxprobe linuxprobe]£ git log -2 
commit 026055f9a45bc83babc7efa54820914321bcOea1 


Author: Liu Chuan «rootelinuxprobe.com- 
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Date: Tue Dec 15 17:58:13 2015 +0800 

changed the file name again 

commit 76a7f52538fa9bde09b646603d90dd948cfe80c4 
Author: Liu Chuan <root@linuxprobe.com> 

Date: Tue Dec 15 17:53:11 2015 +0800 


changed name 


我 也 常用 -p 参数 来 展开 显示 每 次 提交 的 内 容 差 寞 ， 例 如 仅 查 看 最 近 一 次 的 差异 : 


[root@linuxprobe linuxprobe|* git log -p -1 
commit 026055f9a45bc83babc7efa54820914321bc0eal 
Author: Liu Chuan <root@linuxprobe.com> 
Date Tue Dec 15 5s d. 20153 t0300 
changed the file name again 

diff --git a/introduction.txt b/introduction.txt 
deleted file mode 100644 

index f3c8232..0000000 

--- a/introduction.txt 

+++ /dev/null 

@@ -1,3 +0,0 eo 

-Initialization Git repository 

-Something not important 

-Modified again 

diff --git a/readme.txt b/readme.txt 

new file mode 100644 

index 0000000..f3c8232 

--- /dev/null 

+++ b/readme.txt 

QQ -0,0 +1,3 ee 

+Initialization Git repository 


+Something not important 
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+Modified again 
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我 们 还 可 以 使 用 -stat 参数 来 简要 的 显示 数据 增 改 行 数 ， 这 样 就 能 够 看 到 提交 中 修改 过 的 内 容 、 对 文件 添加 或 移 除 


的 行 数 ， 并 在 最 后 列 出 所 有 增 减 行 的 概要 信息 〈 仅 看 最 近 两 次 的 提交 历史 ) : 


[rootelinuxprobe linuxprobel# git log --stat -2 
commit 026055f9a45bc83babc7efa54820914321bcOeal 
Author: Liu Chuan <root@linuxprobe.com> 

Date: Tue Dec 15 17:58:13 2015 «0800 

changed the file name again 

introduction.txt | 3 — 

readme.txt | 3 +++ 

2 files changed, 3 insertions(+), 3 deletions(-) 

commit 76a7152538fa9bde09b646603d90dd948cfe80c4 
Author: Liu Chuan «rootelinuxprobe.com» 

Date: Tue Dec 15 17:53:11 2015 +0800 

changed name 

introduction.txt | 3 +++ 

readme.txt | 3 --- 


2 files changed, 3 insertions(+), 3 deletions () 


— 


还 有 一 个 超级 常用 的 -pretty 参数 ， 它 可 以 根据 不 同 的 格式 为 我 们 展示 提交 的 历史 信息 ， 比 如 每 和 


[root@linuxprobe linuxprobe|* git log --pretty-oneline 
026055f9a45bc83babc7efa54820914321bcO0eal changed the file name again 
T 6aTf52538fa9bde09b646603d90dd948cfe80c4 changed name 
1d8c026df1ce5eb27494c30104180ae3a82c80b6 Modified again 
c8dfed8cac21774c482alaf601657a08b7dcc8950 add the .gitignore file 
346f1ab36ec5321649fbd573cd23a3229684b969 add a line of words 


f091d8bela94c8fecd6abc2fa31730fe2a7a88877 add the readme file 
以 更 详细 的 模式 输出 提交 的 历史 记录 : 


[rootelinuxprobe linuxprobe]£ git log --pretty=fuller -2 


显示 一 


提交 记录 : 
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commit 026055f9a45bc83babc7efa54820914321bcOeal 
Author: Liu Chuan <root@linuxprobe.com> 

AuthorDate: Tue Dec 15 17:58:13 2015 +0800 
Commit: Liu Chuan <root@linuxprobe.com> 


CommitDate: Tue Dec 15 17:58:13 2015 +0800 


changed the file name again 


commit 76a7f52538fa9bde09b646603d90dd948cfe80c4 
Author: Liu Chuan <root@linuxprobe.com> 

AuthorDate: Tue Dec 15 17:53:11 2015 +0800 
Commit: Liu Chuan <root@linuxprobe.com> 


CommitDate: Tue Dec 15 17:53:11 2015 +0800 


changed name 


还 可 以 使 用 format 参数 来 指定 具体 的 输出 格式 ， 这 样 非常 便于 后 期 编程 的 提取 分 析 哦 ， 党 用 的 格式 有 : 


%s 提交 说 明 。 

%cd 提交 日 期 。 

%an 作者 的 名 字 。 

%cn 提交 者 的 姓名 。 

%ce 提交 者 的 电子 邮件 。 

%H 提交 对 象 的 完整 SHA-1 "de ES, 
%h 提交 对 象 的 简短 SHA-1 哈 希 字 串 。 
%T 树 对 象 的 完整 SHA-1 AA FE. 
%t 树 对 象 的 简短 SHA-1 哈 希 字 串 。 
%P 父 对 象 的 完整 SHA-1 哈 希 字 串 。 


%p 父 对 象 的 简短 SHA-1 哈 希 字 串 。 
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%ad 作者 的 修订 时 间 。 
另外 作者 和 提交 者 是 不 同 的 ， 作 者 才 是 对 文件 作出 实际 修改 的 人 ， 而 提交 者 只 是 最 后 将 此 文件 提交 到 Git 版 本 数据 
库 的 人 。 
查看 当前 所 有 提交 记录 的 简短 SHA-1 哈 希 字 串 与 提交 者 的 姓名 : 
[root@linuxprobe linuxprobe|* git log --pretty-format:'?6h 96cn' 
026055f Liu Chuan 
T16aTf52 Liu Chuan 
1d8c026 Liu Chuan 
c8dfed8 Liu Chuan 
346flab Liu Chuan 


fO91d8b Liu Chuan 


21.2.5 还 原 数 据 


还 原 数 据 是 每 一 个 版 本 控制 的 基本 功能 ， 先 来 随意 修改 下 文件 吧 : 
[root@linuxprobe linuxprobe|f echo "Git is a version control system" >> readme.txt 
然后 将 文件 提交 到 Git 版 本 数据 库 : 


[root@linuxprobe linuxprobeļ# git add readme.txt 
[root@linuxprobe linuxprobel# git commit -m "Introduction software" 
[master 5cee15b] Introduction software 


| file changed, 1 insertion(4) 


此 时 和 党 得 写 的 不 要， 向 要 还 原 茶 一 次 提交 的 文件 快照: 


[root@linuxprobe linuxprobe|* git log --pretty-oneline 
0cee15b32d78259985bac4eOcbbOcdad72ab68ad Introduction software 
026055f9a45bc83babc7efa54820914321bcO0eal changed the file name again 
T16aTf52538fa9bde09b646603d90dd948cfe80c4 changed name 
71d8c026df1ce5eb27494c30104180ae3a82c80b6 Modified again 


c8dfed8cac2174c482alaf601657a08b7dcc8950 add the .gitignore file 
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346f1ab36ec532f649fbd573cd23a3229684b969 add a line of words 


f091d8bela94c8fecd6abc2fa31730fe2a7a88877 add the readme file 


Git 服务 程序 中 有 一 个 叫做 HEAD 的 版 本 指针 ， 当 用 户 申请 还 原 数 据 时 ， 其 实 就 是 将 HEAD 指针 指向 到 某 个 特定 的 
提交 版 本 而 已 ， 但 是 因为 Git 是 分 布 式 版 本 控制 系统 ， 所 以 不 可 能 像 SVN 那样 使 用 1、2、3、4 来 定义 每 个 历史 的 
提交 版 本 号 ， 为 了 避免 历史 记录 冲突 ， 故 使 用 了 SHA-1 计算 出 十 六 进 制 的 哈 希 字 串 来 区 分 每 个 提交 版 本 ， 像 刚刚 最 
上 面 最 新 的 提交 版 本 号 就 是 5cee15b32d78259985bac4e0cbb0Ocdad72ab68ad， 另 外 默认 的 HEAD 版 本 指针 会 指 
向 到 最 近 的 一 次 提交 版 本 记录 哦 ， 而 上 一 个 提交 版 本 会 叫 HEAD^， 上 上 一 个 版 本 则 会 叫做 HEAD^^， 当 然 一 般 会 用 
HEAD-5 来 表示 往 上 数 第 五 个 提交 版 本 哦 ~。 





好 啦 ， 既 然 我 们 已 经 锁定 了 要 还 原 的 历史 提交 版 本 ， 就 可 以 使 用 get reset PARKAR AH T : 


[root@linuxprobe linuxprobeļ# git reset --hard HEAD^ 


HEAD is now at 026055f changed the file name again 
再 来 看 下 文件 的 内 容 吧 (怎么 样 ， 内 容 困 然 已 经 还 原 了 吧 ~) : 


[root@linuxprobe linuxprobe|f cat readme.txt 

Initialization Git repository 

Something not important 

Modified again 

刚刚 的 操作 实际 上 就 是 改变 了 一 下 HEAD 版 本 指针 的 位 置 ， 说 白 了 就 是 你 将 HEAD 指针 放 在 那里 ， 那 么 你 的 当前 工 
作 版 本 就 会 定位 在 那里 ， 要 想 把 内 容 再 还 原 到 最 新 提交 的 版 本 ， 先 看 查看 下 提交 版 本 号 吧 : 

[rootelinuxprobe linuxprobel# git log --pretty=oneline 

026055f9a45bc83babc7efa54820914321bcOeal changed the file name again 

T1 6aTf52538fa9bde09b646603d90dd948cfe80c4 changed name 
1d8c026df1ce5eb27494c30104180ae3a82c80b6 Modified again 
c8dfed8cac2174c482alaf601657a08b7dcc8950 add the .gitignore file 
346f1ab36ec5321649fbd573cd23a3229684b969 add a line of words 
f091d8bela94c8fecd6abc2fa31730fe2a7a8887 add the readme file 

怎么 搞 得 ? 竟然 没有 了 Introduction software 这 个 提交 版 本 记录 ? ? 

原因 很 简单 ， 因 为 我 们 当前 的 工作 版 本 是 历史 的 一 个 提交 点 ， 这 个 历史 提交 点 还 没有 发 生 过 Introduction software 更 新 
记录 ， 所 以 当然 就 看 不 到 了 ， 要 是 想 “ 还 原 到 未 来 ”的 历史 更 新 点 ， 可 以 用 git reflog 命令 来 查看 所 有 的 历史 记录 : 
[rootelinuxprobe linuxprobel# git reflog 


026055f HEAD@{0}: reset: moving to HEAD^ 
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5ceel5b HEAD@{1}: commit: Introduction software 
026055f HEAD@{2}: commit: changed the file name again 
76a7f52 HEADe13j: commit: changed name 

7d8c026 HEADO(4): commit (amend): Modified again 
711d5cf HEAD@{5}: commit: Modified again 

c8dfed8 HEAD@{6}: commit: add the .gitignore file 
346flab HEAD@{7}: commit: add a line of words 


f091d8b HEAD@{8}: commit (initial); add the readme file 
找到 历史 还 原点 的 SHA-1 值 后 ， 就 可 以 还 原文 件 了 ， 另 外 SHA-1 值 没有 必要 写 全 ，Git 会 自动 去 匹配 : x 


[root@linuxprobe linuxprobeļ# git reset --hard 5cee15b 


HEAD is now at 5ceel5b Introduction software 
如 是 只 是 想 把 某 个 文件 内 容 还 原 ， 就 不 必 这 么 麻烦 ， 直 接 用 git checkout 命令 就 可 以 的 ， 先 随便 写 入 一 段 话 : 


[root@linuxprobe linuxprobe|f echo "Some mistakes words' >> readme.txt 
[rootelinuxprobe linuxprobe|f cat readme.txt 

Initialization Git repository 

something not important 

Modified again 

Git is a version control system 


Some mistakes words 


AF, SUL AARAU BLXCE — wpEEM, VDVAGRIOGNER E KARR Z RSR ， 还 可 以 将 文件 内 容 从 暂 存 区 中 恢复 : 


[root@linuxprobe linuxprobeļ# git checkout -- readme.txt 
[rootelinuxprobe linuxprobe|£ cat readme.txt 
Initialization Git repository 

something not important 

Modified again 


Git is a version control system 
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这 其 中 是 有 一 套 规则 哦 ， 如 果 暂 存 区 中 有 该 文件 ， 则 直接 从 暂 存 区 恢复 ， 如 果 暂 存 区 没有 该 文件 ， 则 将 还 原 成 最 近 
一 次 文件 提交 时 的 快照。 


21.2.6 管理 标签 


当 版 本 仓库 内 的 数据 有 个 大 的 改善 或 者 功能 更 新 ， 我 们 经 常会 打 一 个 类 似 于 软件 版 本 号 的 标签 ， 这 样 通过 标签 就 可 
以 将 版 本 库 中 的 某 个 历史 版 本 给 记录 下 来 ， 方 便 我 们 随时 将 特定 历史 时 期 的 数据 取出 来 用 ， 另 外 打 标 签 其 实 只 是 像 
某 个 历史 版 本 做 了 一 个 指针 ， 所 以 一 般 都 是 瞬间 完成 的 ， 感 觉 很 方便 吧 。 

在 Git 中 打 标 签 非常 简单 ， 给 最 近 一 次 提交 的 记录 打 个 标签 : 


[root@linuxprobe linuxprobe|f* git tag v1.0 
查看 所 有 的 已 有 标签 : 


[root@linuxprobe linuxprobe]|* git tag 


v1.0 
查看 此 标签 的 详细 信息 : 


[root@linuxprobe linuxprobel# git show v1.0 

commit d316fb2970d9cc476clfcfc6b4950bfd6ebcb795 

Author: Liu Chuan 

Date: Tue Dec 15 19:59:08 2015 +0800 
Introduction software 

diff --git a/readme.txt b/readme.txt 

index f3c8232..955efba 100644 

--- a/readme.txt 

+++ b/readme.txt 

eo -1,3 +1,4 ee 

Initialization Git repository 

Something not important 

Modified again 


+Git is a version control system 


[root@linuxprobe linuxprobel# git tag v1.2 -m "version 1.2 released" d316fb 


DASS 
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我 们 为 同一 个 提交 版 本 设置 了 两 次 标签 ， 来 把 之 前 的 标签 删除 吧 : 


[root@linuxprobe linuxprobe|f* git tag -d v1.0 


Deleted tag 'v1.0' (was d316fb2) 


21.3 管理 分 支 结 构 
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分 文 即 是 平行 空间 ， 假 设 你 在 为 某 个 手机 系统 研发 拍照 功能 ， 代 码 已 经 完成 了 80%， 但 如 果 将 这 不 完整 的 代码 直接 
提交 到 git 仓库 中 ， 又 有 可 能 影响 到 其 他 人 的 工作 ， 此 时 我 们 便 可 以 在 该 软件 的 项 目 之 上 创建 一 个 名 中 “拍照 功 
能 ”的 分 支 ， 这 种 分 支 只 会 属于 你 自己 ， 而 其 他 人 看 不 到 ， 等 代码 编写 完成 后 再 与 原来 的 项 目 主 分 支 合并 下 即 可 ， 


这 样 即 能 保证 代码 不 丢失 ， 又 不 影响 其 他 人 的 工作 。 





me a pre 
vi F 





一 般 在 实际 的 项 目 开发 中 ， 我 们 要 尽量 保证 master 分 支 是 非常 稳定 的 ， 仅 用 于 发 布 新 版 本 ， 平 时 不 要 随便 直接 修 
改 里 面 的 数据 文件 ， 而 工作 的 时 候 则 可 以 新 建 不 同 的 工作 分 支 ， 等 到 工作 完成 后 在 合并 到 master 分 支 上 面 ， 所 以 


团队 的 合作 分 支 看 起 来 会 像 上 面 图 那样 。 





另外 如 前 面 所 讲 ，git 会 将 每 次 的 提交 操作 串 成 一 个 时 间 线 ， 而 在 前 面 的 实验 中 实际 都 是 在 对 master 分 支 进行 操 


E, Git 会 在 创建 分 支 后 默认 创建 一 个 叫做 Photograph 的 指针 ， 所 以 我 们 还 需要 再 将 HEAD 指针 切换 到 
“Photograph ”的 位 置 才 正 式 使 用 上 了 新 分 支 哦 ， 这 么 说 起 来 可 能 比较 抽象 ， 赶 紧 学 习 下 面 的 实验 吧 。 


21.3.1 创建 分 支 
首先 创建 分 支 : 


[root@linuxprobe linuxprobeļ# git branch linuxprobe 
切换 至 分 支 : 
[root@linuxprobe linuxprobeļ# git checkout linuxprobe 


查看 当前 分 支 的 情况 〈 会 列 出 该 仓库 中 所 有 的 分 支 ， 当 前 的 分 支 前 有 米 号 ) : 


b) LAM! 
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[root@linuxprobe linuxprobeļ# git branch 


我 们 对 文件 追加 再 一 行 字符 串 吧 : 


[root@linuxprobe linuxprobe|f echo "Creating a new branch is quick." >> readme.txt 


将 文件 提交 到 git 仓库 : 


[root@linuxprobe linuxprobe|f git add readme.txt 


[rootelinuxprobe linuxprobe|f git commit -m "new branch" 


为 了 让 大 家 更 好 理解 分 支 的 作用 ， 我 们 在 提交 文件 后 再 切换 回 master 2 x : 


[root@linuxprobe linuxprobe|f git checkout master 


然后 查看 下 文件 内 容 ， 发 现 并 没有 新 追加 的 字符 串 哦 : 


[root@linuxprobe linuxprobe|f cat readme.txt 


21.3.2 合并 分 支 


现在 ， 我 们 想 把 linuxprobe 的 工作 成 果 合 并 到 master 分 支 上 了 ， 则 可 以 使 用 ”git merge” 命 令 来 将 指定 


与 当前 分 支 合并 : 


7775 o y ON 


i i j ^ / ^ 
| 初始 文件 jum 编写 文件 d mwt | 
~、 /7 NU n 


in p i er 





[rootelinuxprobe linuxprobe|f git merge linuxprobe 


查看 合并 后 的 readme.txt 文件 : 


[root@linuxprobe linuxprobeļ# cat readme.txt 


确认 合并 完成 后 ， 就 可 以 放心 地 删除 linuxprobe 分 支 了 : 


[root@linuxprobe linuxprobeļ# git branch -d linuxprobe 
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的 的 分 支 
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删除 后 ， 查 看 branch， 就 只 剩 下 master 分 支 了 : 


[rootelinuxprobe linuxprobe|£ git branch 


* master 


21.3.3 分 支 冲突 


但 是 Git 并 不 能 每 次 都 为 我 们 自动 的 合并 分 支 ， 当 过 到 了 内 容 冲突 比较 复杂 的 情况 ， 则 必须 手工 将 差异 内 容 处 理 
点 ， 比 如 这 样 的 情况 


y 


( 初始 文件 - 编写 文件 J—é 追加 内 容 pk 冲突 文件 Á( gae | 
~ e. 7 


创建 分 支 并 切换 到 该 分 支 命令 : git checkout -b 分 支 名 称 
创建 一 个 新 分 支 并 切换 到 该 分 支 命令 : 


E 


[root&linuxprobe linuxprobeļ# git checkout -b linuxprobe 


修改 readme.txt 文件 内 容 : 


[root@linuxprobe linuxprobe|f vim readme.txt 


Creating a new branch is quick & simple. 


在 linuxprobe 分 支 上 提交 : 


[root@linuxprobe linuxprobe|f git add readme.txt 
[rootelinuxprobe linuxprobe|f git commit -m "Creating a new branch is quick & simple. ' 


[feature] 75a857c| AND simple 1 file changed, 1 insertion(4), 1 deletion() 


切换 到 master 2x : 


[rootelinuxprobe linuxprobe|f git checkout master 
Switched to branch 'master 


Your branch is ahead of 'origin/master by 1 commit. 


在 在 master 分 支 上 修改 readme.txt 文件 同一 行 的 内 容 : 


[root@linuxprobe linuxprobe|f vim readme.txt 
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Creating a new branch is quick AND simple. 


提交 至 Cit 版 本 仓库 : 


[root@linuxprobe linuxprobe|f git add readme.txt 


Creating a new branch is quick AND simple. 


[rootelinuxprobe linuxprobel# git commit -m "Creating a new branch is quick AND simple. " 


[master 400b400] & simple 1 file changed, 1 insertion(4), 1 deletion() 
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那么 此 时 ， 我 们 在 master 与 linuxprobe 分 支 上 都 分 别 对 中 readme.txt 文件 进行 了 修改 并 提交 了 ， 那 这 种 情况 下 
Git 就 没 法 再 为 我 们 自动 的 快速 合并 了 ， 它 只 能 告诉 我 们 readme.txt 文件 的 内 容 有 冲突 ， 需 要 手工 处 理 冲突 的 内 容 


后 才能 继续 合并 : 


[root@linuxprobe linuxprobe|]f git merge linuxprobe 


Auto-merging readme.txt CONFLICT (content): Merge conflict in readme.txt Automatic merge failed; fix conf 


licts and then commit the result. 


冲突 的 内 容 为 : 


[root@localhost linuxprobel# vim readme.txt 
Git is a distributed version control system. 

Git is free software distributed under the GPL. 
Git has a mutable index called stage. 

Git tracks changes of files. 

«HEAD 


Creating a new branch is quick & simple. 


Creating a new branch is quick AND simple. 


>>>>>>> linuxprobe 


Git 用 < <<<<<<，=======，>>>>>>> 分 割 开 了 各 个 分 支 冲突 的 内 容 ， 我 们 需要 手工 的 删除 这 些 符号 ， 并 将 内 容 


Creating a new branch is quick and simple. 解决 冲突 内 容 后 则 可 顺利 的 提交 : 


[root@linuxprobe linuxprobel# git add readme.txt 


修 


改 为 : 
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[root@linuxprobe linuxprobel# git commit -m "conflict fixed" 


[master 59bc1cb] conflict fixed 


查看 Git 历史 提交 记录 (可 以 看 到 分 支 的 变化 ): 


[root@linuxprobe linuxprobel# git log --graph --pretty=oneline --abbrev-commit 
* 59bclcb conflict fixed 

IN 

| * 75a857c AND simple 

* | 400b400 & simple 

|/ 


* feci45a branch test 


最 后 ， 放 心 的 删除 linuxprobe 2^ x "E: 


[root@linuxprobe linuxprobel# git branch -d linuxprobe 
Deleted branch featurel (was 75a857c). 


[rootelinuxprobe linuxprobe]£ git branch 


21.4 部 署 Git 服务 器 


Git 是 分 布 式 的 版 本 控制 系统 ， 我 们 只 要 有 了 一 个 原始 Git 版 本 仓库 ， 就 可 以 让 其 他 主机 克隆 走 这 个 原始 版 本 仓库， 
从 而 使 得 一 个 Git 版 本 仓库 可 以 被 同时 分 布 到 不 同 的 主机 之 上 ， 并 且 每 台 主 机 的 版 本 库 都 是 一 样 的 ， 没 有 主 次 之 

分 ， 极 大 的 保证 了 数据 安全 性 ， 并 使 得 用 户 能 够 自主 选择 向 那个 Git 服务 器 推 送 文 件 了 ， 其 实 部 署 一 个 git BIA dox 
非常 简单 的 事情 ， 我 们 需要 用 到 两 台 主 机 ， 分 别 是 : 





编辑 

主机 名 称 操作 系统 IP 地 址 

Git RZ 214 RHEL7 操作 系统 192.168.10.10 
Git 客户 端 红 帽 RHEL7 操作 系统 192.168.10.20 


首先 我 们 分 别 在 Git 服务 器 和 客户 机 中 安装 Git 服务 程序 (刚刚 实验 安装 过 就 不 用 安装 了 ): 


[rootelinuxprobe ~|# yum install git 
Loaded plugins: langpacks, product-id, subscription-manager 


This system is not registered to Red Hat Subscription Management. You can use subscription-manager to 


register. 
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Package git-1.8.3.1-4.el7.x86_64 already installed and latest version 


Nothing to do 

然后 创建 Git 版 本 仓库 ， 一 般 规范 的 方式 要 以 .git 为 后 组 : 
[root@linuxprobe ~|# mkdir linuxprobe.git 

修改 Git 版 本 仓库 的 所 有 者 与 所 有 组 : 

[root@linuxprobe ~|# chown -Rf gitgit linuxprobe.git/ 
初始 化 Git 版 本 仓库 : 


[root@linuxprobe ~|# cd linuxprobe.git/ 

[root@linuxprobe linuxprobe.git|# git --bare init 

Initialized empty Git repository in /root/linuxprobe.git/ 

其 实 此 时 你 的 Git 服务 恬 就 已 经 部 署 好 了 ， 但 用 户 还 不 能 向 你 推送 数据 ， 也 不 能 克隆 你 的 Git 版 本 仓库 ， 因 为 我 们 


要 在 服务 器 上 开放 至 少 一 种 支持 Git 的 协议 ， 比 如 HITP/HTTPS/SSH 等 ， 现 在 用 的 最 多 的 就 是 HTTPS 和 SSH， 我 
们 切换 至 Git 客户 机 来 生成 SSH 密 钥 : 


[rootelinuxprobe ~|# ssh-keygen 

将 客户 机 的 公 销 传递 给 Git CAR d : 

[root@linuxprobe ~|# ssh-copy-id 192.168.10.10 
root@192.168.10.10's password: 

Number of key(s) added: 1 

Now try logging into the machine, with: "ssh 192.168.10.10" 


and check to make sure that only the key(s) you wanted were added. 


此 时 就 已 经 可 以 从 Git 服务 器 中 克隆 版 本 仓库 了 (此 时 目录 内 没有 文件 是 正常 的 ) : 


[root@linuxprobe ~]# git clone root@192.168.10.10:/root/linuxprobe.git 
Cloning into ‘linuxprobe.... 

warning: You appear to have cloned an empty repository. 
[rootelinuxprobe -]4 cd linuxprobe 


[root&linuxprobe linuxprobe|* 
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初始 化 下 Git 工作 环境 : 


[root@linuxprobe ~|# git config --global user.name "Liu Chuan" 
[rootelinuxprobe ~|# git config -global user.email "rootelinuxprobe.com" 


[rootelinuxprobe ~|# git config global core.editor vim 


向 Git 版 本 仓库 中 提交 一 个 新 文件 : 


[root@linuxprobe linuxprobeļ# echo "I successfully cloned the Git repository" > readme.txt 
[root@linuxprobe linuxprobeļ# git add readme.txt 

[root@linuxprobe linuxprobeļ# git status 

# On branch master 

# Initial commit 

# Changes to be committed: 

# (use "git rm --cached ..' to unstage) 

# 

# new file: readme.txt 

# 

[root@linuxprobe linuxprobel# git commit -m "Clone the Git repository" 
[master (root-commit) c3961c9] Clone the Git repository 

Committer: root 

1 file changed, 1 insertion(+) 

create mode 100644 readme.txt 

[root@linuxprobe linuxprobeļ# git status 

# On branch master 

nothing to commit, working directory clean 


但 是 这 次 的 操作 还 是 只 将 文件 提交 到 了 本 地 的 Git 版 本 仓库 ， 并 没有 推送 到 远程 Git 服务 器 ， 所 以 我 们 来 定义 下 远 
程 的 Cit 服务 器 吧 : 


[rootelinuxprobe linuxprobe|f git remote add server root@192.168.10.10:/root/linuxprobe.git 


将 文件 提交 到 远程 Git 服务 性 吧 : 


[root@linuxprobe linuxprobe|j# git push -u server master 
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Counting objects: 3, done. 

Writing objects: 10096 (3/3), 261 bytes | O bytes/s, done. 
Total 3 (delta O), reused O (delta O) 

To root? 192.168.10.10:/root/linuxprobe git 

* [new branch] master -» master 


Branch master set up to track remote branch master from server. 


为 了 验证 真 的 是 推送 到 了 远程 的 Git 服务 ， 你 可 以 换个 目录 再 克隆 一 份 版 本 仓库 〈 虽 然 在 工作 中 毫 无 意义 ) : 


[root@linuxprobe linuxprobe|* cd ../Desktop 

[root@linuxprobe Desktop|# git clone root€192.168.10.10:/root/linuxprobe.git 
remote: Counting objects: 3, done. 

Receiving objects: 10096 (3/3), done. 

[rootelinuxprobe Desktop|£ cd linuxprobe/ 

[rootelinuxprobe linuxprobe|f cat readme.txt 


I successfully cloned the Git repository 


21.5 Github 托管 服务 


其 实 自 己 部 署 一 合 Git R ERRARE, BARRER A EILE 7*24 小 时 稳定 和 运行， 还 要 保证 各 种 权 
限 及 版 本 库 的 安全 就 觉得 很 累 吧 ， 
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Github 顾名思义 是 一 个 Git 版 本 库 的 托管 服务 ， 是 目前 全 球 最 大 的 软件 仓库 ， 拥 有 上 百 万 的 开发 者 用 户 ， 也 是 软件 
开发 和 寻找 资源 的 最 佳 途径 ，Github 不 仅 可 以 托管 各 种 Git 版 本 仓库 ， 还 拥有 了 更 美观 的 Web 界面 ， 您 的 代码 文 
件 可 以 被 任何 人 克隆 ， 使 得 开发 者 为 开源 项 贡献 代码 变 得 更 加 上 容易， 当然 也 可 以 付费 购买 私有 库 ， 这 样 高 性 价 比 的 
私有 库 真 的 是 帮助 到 了 很 多 团队 和 企业 。 
大 多 数 用 户 都 是 为 了 寻找 资源 而 爱 上 Github 的 ， 首 先进 入 网 站 ， 点 击 注册 (Sign up): 

GitHub Bd abes Mig. NUM sign in 


[pan | 
Where software is built Emmm 
[omma 


Powerful collaboration, cod and code management for 


ode review 
open source and private projects. Public projects are always 
free. 
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填写 注册 信息 - 
Join GitHub 


The best way to design, build, and ship software. 


Tm Step 1: 
Set up a personal account 


Create your personal account 


You'll love GitHub 
Username 
用 户 名 Unlimited collaborators 
This will be your username — you can enter your organization's username next Unlimited public repositories 
Email Address 


v Great communication 


常用 邮箱 


You will occasionally receive account related emails. We promise notto share your 
email with anyone w Open source community 


w Friction-less development 


Password 


复杂 些 的 密码 


Use atleast one lowercase letter, one numeral, and seven characters 


By clicking on "Create an account" below, you are agreeing to the Terms of 


Service and the Privacy Policy.  —-—— 
| Create an account | 


选择 仓库 类 型 : 
Welcome to GitHub 


You've taken your first step into a larger world, ees Pria Su 


d Completed 0 Step 2: 


Set up a personal account Choose your plan 


Choose your personal plan 
Each plan includes: 


Plan Cost (view in CNY Private repositories 
Unlimited collaborators 
Large $50/month 50 Choose -— à 
3 Unlimited public repositories 
Medium $22/month 20 Choose 
w Free setup 
Small 512/month 10 Choose v HTTPS Protection 
ww Email support 
Micr /mont 5 " ose 
RA SERBOE , TUELHA, v Wikis Issues, Pages, & more 
Free Sü/month 0 Chosen 
zharges to your a nt will be made in US Dollars. Converted prices are 
provided as a convenience and are only an estimate based on current exchange 
rates. Local prices will change as the exchange rate fluctuates 
Don't wort ju can cancel or upgrade at any time 


[7] Help me set up an organization next 
Organizations are separate from personal accounts and are best suited for 


businesses who need to manage permissions for many employees 


Learn more about organizations 
| Finish sign up | 


好 棒 ， 我 们 的 GitHub 帐号 注册 完成 了 : 


Learn Git and GitHub without any code! 


Using the Hello World guide, you'll create a repository, start a 
branch, write comments, and open a pull request. 


Let's get started! 


DA s =a n Your repositories 十 New repository 


You don't have any repositories yet! 
Welcome to GitHub! What's next? Create your first repository or learn more about 
Create a repository Git and GitHub. 
Tell us about yourself 
Browse interesting repositories 
Follow @github on Twitter & Subscribe to your news feed 


Q ProTip! Edit your feed by updating the users you follow and repositories you watch 


我 们 在 向 Github 推送 文件 时 ， 可 以 选择 SSH 协议 模式 ， 在 本 机 生成 密 钥 文件 〈 上 面 实验 已 经 做 过 ， 就 不 需要 再 生成 了 ) : 


[root@linuxprobe ~|# ssh-keygen 


[root@linuxprobe ~|# ssh-add 
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MIHA Github 的 帐户 配置 页 面 : 


o Pull requests Issues Gist A t > 


linuxprobe.com 


Your protie 


Learn Git and GitHub without any code! 


Using the Hello World guide, you'll create a repository, start a Your stars 
branch, write comments, and open a pull request Explore 
Integrations 
Let's get started! Help 
Settings 
Sign out 
2A linu223xprobte ~ Your repositories 
You don't have any rec $ yt 
Welcome to GitHub! What's next? Create your first repository or learn more about 
Create a repository »t and GitHub 
Tell us about yourself 
Browse interesting repositones 
Follow @github on Twitter A Subscribe to your news feed 


点 击 添加 SSH 2: 


e Pull requests issues Gist A t 6-7 
Personal settings Need help? Check out our guide to generating SSH keys or troubleshoot common SSH Problems 
Profile SSH keys Add SSH key 
AC unt ng 
! are e ouf 3CC0U 
E A 
m nc ex 
Biling 


Personal access tokens 
Repostones 


Organizations 


将 本 机 中 的 ssh A4 ssh/id rsa.pub) & AA XC ti F, 3E ssh 2418 & : 


Add an SSH key 


Title 


linuxprobe 


Key 


ssh-rsa 

AAAAB3NzaC1yc2EAAAADAQABAAABAQDbnMaPKkL mY C/GHYIx1vKcLIQfdTJlxjlaD2uSdVeU2SQ19KDqvM6IPyfWa 

6LDQOTyTILzKH501WcvSpH8LEs1T8R3qcZ7P0o4KZqrvu2VrCbtuKca4wF sStflcbvhptlmMIZJJCOz2KbeMIBfenXOch9vBe 
t«DYr1E3AUSK2ZaPq2KzU97yGkH9c0auyxWOU59-*aRTZIIX12RODalsVOlw7iJPKeGV7G/cNQawhbYZ*F yeOkV2v7TRo 

8viYVSZymGmoNUroOEBnxUmDKGjPYz2Y2wL4HQwHrPxmNOChObScNQSWS3PGeerZxmTCnpOloplXoKvOi1bDp^*ESi 
RMsRpkKz root(glinuxprobe.com 





查看 ssh dí AR: 


SSH keys Add SSH key 


This is a list of SSH keys associated with your account. Remove any keys that you do not recognize 


linuxprobe 
^P id : E : Delete 
88:91:4c:db:85:b6:b4:69:ba:44:4d:b1:89:da:48:78 


Added on 13 Dec 2015 — Never used 


好 的 ， 现 在 我 们 的 准备 工作 已 经 妥当 ， 让 我 们 在 Github 上 创建 自己 第 一 个 Git 版 本 仓库 吧 ， 点 击 创建 一 个 新 的 版 本 仓库 : 


oO Pull requests Issues Gist A 十 ~ Uu - 


New organzation 


Personal settings Public profile 


| Profile 


Profile picture 


Account settings La Upload new picture 


填写 版 本 仓库 的 信息 : 
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Create a new repository 


A repository contains all the files for your project, including the revision history 


Owner Repository name 
mm / linuxprobe 仓库 名 称 v4 


Great repository names are short and memorable. Need inspiration? How about cuddly-potato. 


Description (optional) 
The highest quality Linux materials 描述 信 局 ( 可 不 填写 
© Public 
Anyone can see this repository. You choose who can commit 


2 Private 
You choose who can see and committo this repository 


i ssni: . . . a N 2 SN > 7 A 
[v] Initialize this repository with a README "n: AF BD 将 该 & E AC Els PEN 
This will let you immediately clone the repository to your corriputer. SKip tmts step'if youte Tmporting ani existing repository 


Add .gitignore: None ~ Add a license: None v 


Create repository 


创建 成 功 后 会 自动 跳 转 到 该 仓库 的 页 面 : 


linuxprobe OUnwatchv 1 会 Star 0 YFork 0 


1 1 0 1 
master + New pull request New file Find file HTTPS» https://github.com/K130/1 @ a Download ZIP 
us 1 atest nemi 8a5455a ju v 
3] README.md 


linuxprobe 


The highest quakty Linux materials 


复制 版 本 仓库 的 克隆 地 址 : 











<? Cod 0 
The highe t IT 
1 1 0 1 
master ~ Newfile Find file z | ^ Download ZIF 
T K130 Initia r Latest commit 8a5455a 17 minutes a 


README. md 


尝试 把 版 本 仓库 克隆 到 本 地 (这 个 版 本 库 我 会 一 直 保留 ， 大 家 可 以 动手 克隆 下 试 试 。) : 


[root@linuxprobe ~|# git clone https://github.com/K 130/linuxprobe.gitCloning into ‘linuxprobe.... 


remote: Counting objects: 3, done. 

remote: Total 3 (delta O), reused O (delta O), pack-reused O 
Unpacking objects: 10096 (3/3), done. 

[rootelinuxprobe ~|# cat linuxprobe/ 

.git/ README.md 

[rootelinuxprobe -]£ cat linuxprobe/README.md 


* linuxprobe 


第 298 页 


第 299 页 


(Linux 就 该 这 么 学 》 HTTP://www.linuxprobe.com 


The highest quality Linux materials 
将 该 Github 版 本 仓库 添加 到 本 机 的 远程 列表 中 : 


[root@linuxprobe linuxprobe|f git remote add linuxprobe gitegithub.com:K 1 30/linuxprobe.git 
[rootelinuxprobe linuxprobe|f git remote 
linuxprobe 


origin 
编写 一 个 新 文件 : 


[rootelinuxprobe -]4 cd linuxprobe/ 


[root&linuxprobe linuxprobe|f echo "Based on the RHEL&Centos system" > features 
将 该 文件 提交 到 本 地 的 Git 版 本 仓库 : 


[root@linuxprobe linuxprobeļ# git add features 


[rootelinuxprobe linuxprobe|]f git commit -m "add features" 
然后 将 本 地 的 Git 仓库 同步 到 远程 Git 服务 性 上 (第 一 次 请 加 上 参数 -u， 代 表 关 联 本 地 与 远程 ) : 


[root@linuxprobe linuxprobeļ# git push -u linuxprobe masterCounting objects: 4, done. 
Delta compression using up to 4 threads. 
Compressing objects: 10096 (2/2), done. 
Writing objects: 10096 (3/3), 303 bytes | O bytes/s, done. 
Total 3 (delta O), reused O (delta O) 
To gitegithub.com:K 1 30/linuxprobe git 
8ab455a.flbc411 master -> master 
Branch master set up to track remote branch master from linuxprobe. 


刷新 一 下 Web 页 面 ， 果 然 看 到 版 本 仓库 已 经 同步 了 : 


K130 / linuxprobe © Unwatch ~ k Star 0 YFok 0 


